巧避陷阱 識(shí)破地址欺騙術(shù)

■ 河南 郭建偉

編者按：如今網(wǎng)絡(luò)攻擊已是無(wú)孔不入，在日常計(jì)算機(jī)操作中也可能會(huì)無(wú)意遇到安全威脅。本文通過(guò)筆者遇到的一些隱秘威脅，探討了網(wǎng)絡(luò)攻擊的某些常用欺騙術(shù)，同時(shí)提醒讀者巧避陷阱。

當(dāng)雙擊一個(gè)看似正常的文本文件，卻誤入惡意網(wǎng)站，進(jìn)而招來(lái)病毒木馬，這聽(tīng)起來(lái)有些讓人無(wú)法相信。其實(shí)，這是網(wǎng)絡(luò)攻擊者利用了URL 地址欺騙技術(shù)，很容易達(dá)到上述目的。

從外表上看，這類(lèi)不法文件雖然擁有TXT 文檔圖標(biāo)，但是，在文件夾選項(xiàng)窗口中的“查看”面板中取消“隱藏已知文件類(lèi)型的擴(kuò)展名”項(xiàng)，讓文件擴(kuò)展名徹底顯示出來(lái)。但是該類(lèi)文件卻沒(méi)有顯示擴(kuò)展名。

我們知道，不同的文件都擁有文件頭信息，只要使用記事本將對(duì)應(yīng)的文件打開(kāi)，通過(guò)查閱文件頭信息，就很容易了解其類(lèi)型。例如，將一個(gè)EXE 文件拖放到記事本中，就會(huì)發(fā)現(xiàn)其是以“MZ”開(kāi)頭的，這就是EXE 文件的特征。將一個(gè)JPG 圖像文件使用記事本打開(kāi)，會(huì)發(fā)現(xiàn)其文件頭包含“JFIF”信息等。

但是，在該類(lèi)假冒的文本文件右鍵菜單上點(diǎn)擊“打開(kāi)方式”項(xiàng)，卻無(wú)法使用記事本打開(kāi)。而在WinHEX 中打開(kāi)該假冒的文本，在右側(cè)的ASCII 區(qū)域則可以清晰地看到該文件的真實(shí)內(nèi)容，里面的網(wǎng)址明顯是掛馬網(wǎng)址。而且在WinHEX 的文件名稱(chēng)標(biāo)簽上顯示其真實(shí)名稱(chēng)，例如“xxx.url” “xxx”等為具體的文件名。

看來(lái)，這根本不是什么文本文件，而是包含特殊內(nèi)容的URL 地址文件。

例如，筆者就遇到過(guò)這種假冒的文本文件，在WinHEX中將其打開(kāi)后，再點(diǎn)擊菜單“文件”→“另存為”項(xiàng)，將文件名稱(chēng)修改為“xxx.txt”。這樣，就可以直接使用記事本了解其廬山真面目了。對(duì)其進(jìn)行分析后，筆者發(fā)現(xiàn)它的前兩行定義的目標(biāo)頁(yè)面，當(dāng)雙擊該文件后，就直接進(jìn)入了該頁(yè)面。毫無(wú)疑問(wèn)，其中包含了木馬等惡意程序。第三行和第四行定義了一個(gè)快捷方式的網(wǎng)址，第五句中的“Modified”字樣可能是修改屬性的意思，用來(lái)修改上述內(nèi)容的屬性信息。第六行和第七行是使用系統(tǒng)路徑中的“shell32.dll”中包含的圖標(biāo)信息，來(lái)偽裝該文件圖標(biāo)，其中第70號(hào)圖標(biāo)對(duì)應(yīng)的就是TXT 圖標(biāo)。

該頁(yè)面其實(shí)是一個(gè)掛馬網(wǎng)站，當(dāng)進(jìn)入該網(wǎng)站后，指定網(wǎng)址中的名為“xxx.exe”的木馬病毒就會(huì)侵入系統(tǒng)。

由此可以得出對(duì)付這種危險(xiǎn)文件的方法，一旦發(fā)現(xiàn)看起來(lái)很像TXT、Word 等類(lèi)型的文件，而且使用正常方法無(wú)法顯示其擴(kuò)展名，同時(shí)其名稱(chēng)頗具迷惑性的文件，最好使用記事本或者WinHEX等工具將其手工打開(kāi)，來(lái)充分了解其內(nèi)容。

其實(shí)，要想查看這類(lèi)特殊的文件類(lèi)型，還有一種簡(jiǎn)單易行的方法，只需在CMD 窗口中切換到目標(biāo)路徑下，執(zhí)行“dir/a”命令，就可以讓其擴(kuò)展名顯露無(wú)遺。如果發(fā)現(xiàn)其中包含可疑網(wǎng)址，最好將它直接刪除，以避免危害系統(tǒng)安全。

黑客為了實(shí)現(xiàn)入侵目的，往往會(huì)采用各種手段來(lái)麻痹用戶(hù)。例如，將這類(lèi)文件起一個(gè)具有迷惑性的名字，通過(guò)郵箱或論壇等途徑傳送，或者將它和正常軟件打包在一起，讓用戶(hù)在毫無(wú)防范之際中招。

其實(shí)，除了這種URL 欺騙之外，還有一種URL 欺騙方式也值得警惕，那就是通過(guò)偽造超級(jí)鏈接，來(lái)誘惑用戶(hù)進(jìn)入非法網(wǎng)站。例如，當(dāng)筆者某次瀏覽網(wǎng)頁(yè)時(shí)，指向一個(gè)名稱(chēng)很正規(guī)的鏈接，在瀏覽器狀態(tài)欄上也顯示這是一個(gè)很常用的網(wǎng)站，但是當(dāng)點(diǎn)擊該鏈接后，卻進(jìn)入了一個(gè)內(nèi)容雜亂的網(wǎng)站，殺毒軟件也彈出警告，提示有危險(xiǎn)的程序試圖下載運(yùn)行。

筆者瀏覽上述頁(yè)面的源代碼，發(fā)現(xiàn)在頁(yè)面上顯示的“www.xxx.com”鏈接顯得很正規(guī)，并沒(méi)有什么可疑之處。當(dāng)指向該鏈接后，在狀態(tài)欄上也會(huì)顯示“www.xxx.com”字樣。其實(shí)這都是假象，該鏈接真實(shí)的地址其實(shí)是一個(gè)非法網(wǎng)站，當(dāng)您誤擊該鏈接后，自然會(huì)掉入陷阱之中。

關(guān)于URL 地址欺騙類(lèi)型有多種，要想了解這些攻擊的伎倆，首先需要知曉URL的結(jié)構(gòu)組成。

大家一般都認(rèn)為URL就是WWW 網(wǎng)址或者FTP 地址，其實(shí)不然。URL 的全稱(chēng)是Uniform Resource Loca tiors，即統(tǒng)一資源定位器。它的標(biāo)準(zhǔn)在RFC1738 中被定義。其中最普遍的形式定義為“:”。“”部分是網(wǎng)絡(luò)協(xié)議的名稱(chēng)，“”被定義為“//:@:/”，其中只有“”部分是必須的，“；”和“@字符具有特殊的含義。這樣，服務(wù)器才可以解析完整的字符串。如果用戶(hù)名和密碼包含在URL 中，“”部分則只能從“@”字符后開(kāi)始。

了解了URL 的組成結(jié)構(gòu)之后，我們來(lái)看一個(gè)最古老的URL 欺騙方法。例如，對(duì)于網(wǎng)址“http://www.sohu.com@www.xxx.net”來(lái)說(shuō)，其中的“www.xxx.net”代表惡意網(wǎng)址。從表面上看，用戶(hù)很容易被其前部的“http://www.sohu.com”迷惑，以為這是一個(gè)正規(guī)的大網(wǎng)站，而放松對(duì)該地址的防范。其實(shí)，在該地址中，“@”符號(hào)之前的部分是虛假的用戶(hù)名，服務(wù)器會(huì)忽略它，最終打開(kāi)的確實(shí)其后的“www.xxx.net”。

當(dāng)然，這類(lèi)比較初級(jí)的URL 欺騙方式對(duì)于高版本的IE 是無(wú)效的，但是對(duì)于很多第三方的瀏覽器，例如遨游、世界之窗、GreenBrowser 等是有效的，所以當(dāng)使用這些瀏覽器時(shí)，還是應(yīng)該防范這類(lèi)URL 地址欺騙。

因?yàn)槌Ｒ?guī)的URL 地址很容易讓惡意網(wǎng)站現(xiàn)行，為了更好地蒙騙用戶(hù)，攻擊者通常會(huì)采取更改URL 地址格式或者是加密的方式，來(lái)偽裝惡意URL 地址。在一般情況下，IP 都是采用諸如“aaa.bbb.ccc.ddd”的劃分格式，但其實(shí)也可以八進(jìn)制、十進(jìn)制或者十六進(jìn)制的方式進(jìn)行表述。從用法上來(lái)說(shuō)，不管采用何種進(jìn)制，都不影響對(duì)目標(biāo)IP 的訪問(wèn)。如果攻擊者在某個(gè)IP 上布設(shè)了木馬網(wǎng)站，然后采用以上特殊的進(jìn)制格式來(lái)偽裝訪問(wèn)網(wǎng)站，就很容易讓用戶(hù)上當(dāng)受騙。除了更改進(jìn)制格式外，黑客往往會(huì)對(duì)URL 進(jìn)行加密處理，來(lái)進(jìn)一步對(duì)其進(jìn)行偽裝。

那么，面對(duì)變化多端的URL 欺騙，該如何加以防范呢？雖然URL 欺騙很狡猾，不過(guò)也有其弱點(diǎn)。我們只需在訪問(wèn)之前進(jìn)行一番檢測(cè)，就可以讓它徹底露出原型。

例如，利用Netcraft 公司的網(wǎng)站信息查詢(xún)引擎，使用瀏覽器就可以輕松實(shí)現(xiàn)查詢(xún)。打開(kāi)網(wǎng)址“http://toolbar.netcraft.com/site_report”，在其中的“Lookup another URL”欄中可以輸入網(wǎng)址，回車(chē)后就可以對(duì)其進(jìn)行深入檢測(cè)，并顯示一份詳細(xì)的報(bào)表，包括該網(wǎng)站建立日期、網(wǎng)站的IP、所屬?lài)?guó)家、域名注冊(cè)商、主機(jī)所在地址、網(wǎng)站全球排名（Site rank）等具體數(shù)據(jù)，甚至包括網(wǎng)絡(luò)主機(jī)上次啟動(dòng)的時(shí)間。

在“Hosting History”中列出網(wǎng)站變遷歷史的清單，包括IP、服務(wù)器類(lèi)型、操作系統(tǒng)種類(lèi)以及上次更新時(shí)間等數(shù)據(jù)。

利用這些數(shù)據(jù)，不僅可以洞察網(wǎng)站的具體信息，同時(shí)可以有效地對(duì)抗釣魚(yú)網(wǎng)站的欺騙。當(dāng)然，也可以在虛擬運(yùn)行環(huán)境中訪問(wèn)可疑網(wǎng)站，來(lái)檢測(cè)其是否存不法行為。

例如，使用一些殺毒軟件提供的隔離沙箱功能，就可以在保證系統(tǒng)安全的前提下，訪問(wèn)存在疑點(diǎn)的URL 地址。因?yàn)樗弧败浗痹谏诚渲校匀徊粫?huì)危害真實(shí)的系統(tǒng)。例如，在360 安全衛(wèi)士的隔離沙箱主界面中點(diǎn)擊“運(yùn)行指定程序”按鈕，啟動(dòng)世界之窗瀏覽器，在該瀏覽器頂部會(huì)顯示“360 隔離沙箱保護(hù)中”字樣，說(shuō)明其活動(dòng)已經(jīng)和真實(shí)系統(tǒng)隔開(kāi)，在其中就可以放心大膽地打開(kāi)存在問(wèn)題的URL 地址，來(lái)查看其中是否存在問(wèn)題了。