网页木马利用的安全漏洞

　　目前网站挂马监测平台主要仍采用动态行为分析技术检测和发现挂马网站，尚无法自动化地分析出网页木马所利用的安全漏洞类型。为了进一步完善平台，我们已经在浏览器模块间通讯劫持技术、基于安全漏洞特征的网页木马检测方法、基于安全漏洞模拟的网页木马检测方法等方面取得了技术突破，相关研究成果发表于AsiaCCS’10等知名国际会议上，也将利用创新技术进一步完善监测业务平台。

　　根据对固化保全的网页木马攻击场景进行人工辅助分析的结果，我们总结了2010年上半年检出网页木马所主要利用的安全漏洞和攻击方式：网马利用最为流行和普遍的漏洞莫过于IE浏览器中爆出的MS10-018（国内又称“极风”）和MS10-002（“极光”）；而2009年的MS09-043、MS09-032，2008年的MS08-054、联众GLIEDown.IEDown.1控件多个缓冲区溢出漏洞，2007年的RealPlayer IERPCtl.IERPCtl.1控件漏洞和“老的掉牙”的MS06-014漏洞仍频频出现在集成多个渗透攻击代码的网马攻击包中；另外Adobe公司的Flash和PDF由于应用面广泛、支持内嵌ActionScript和JavaScript等脚本语言，也已经成为网马攻击的常用途径，在从教育网中检出的网页木马攻击场景中，我们也发现大量用于承载渗透攻击的恶意SWF和PDF文件。

　　“极光”与“极风”是今年上半年微软IE浏览器中先后被爆出0day和网马攻击的安全漏洞。“极光”漏洞(MS10-002)由于最早在作为Google“退出中国市场”事件导火索的“极光”攻击事件中被利用而闻名，其本质是IE浏览器DOM模型实现中存在的对象引用计数错误，从而导致的use-after-free类型安全漏洞（详见《中国教育网络》2-3合刊：微软“极光”漏洞殃及谷歌和中国网民）。而“极风”漏洞(MS10-018)也同样是IE浏览器中爆出的use-after-free类型漏洞，漏洞触发点在于CPersistUserData::setAttribute()方法，由于该方法对VT_DISPATCH类型的Variant变量转化过程中的引用计数处理失误导致内存破坏，从而造成远程执行任意代码2。

　　如图4所示，我们对这两个漏洞在检出高校挂马网站中流行趋势做了一个统计分析，对每旬所检测到的包含这两个漏洞利用网马的挂马攻击场景数量进行分析与对比。从图示结果可以显示出典型的安全漏洞利用生命周期，如“极光”漏洞，从1月15日被公开披露以后，即随进入0day和1day阶段的高峰利用期，然后随着补丁的推出、广泛应用及其他0day漏洞的出现，其利用范围和规模也逐步地衰减，但会具有一个较为漫长的“半衰期”。而“极风”漏洞被网马利用的范围和持续时间要比“极光”漏洞高出一个数量级，一个可能的原因是“极光”漏洞的爆出时间是处在临近春节假期，而国内各类攻击现象的统计规律往往揭示出攻击者在春节期间也会安心的过节休息，而不会过多加班加点的攻击。

图4 “极光”与“极风”漏洞利用网页木马场景数量的趋势分析与对比