巧避陷阱 識破地址欺騙術(shù)

■ 河南 郭建偉

編者按：如今網(wǎng)絡(luò)攻擊已是無孔不入，在日常計算機(jī)操作中也可能會無意遇到安全威脅。本文通過筆者遇到的一些隱秘威脅，探討了網(wǎng)絡(luò)攻擊的某些常用欺騙術(shù)，同時提醒讀者巧避陷阱。

當(dāng)雙擊一個看似正常的文本文件，卻誤入惡意網(wǎng)站，進(jìn)而招來病毒木馬，這聽起來有些讓人無法相信。其實(shí)，這是網(wǎng)絡(luò)攻擊者利用了URL 地址欺騙技術(shù)，很容易達(dá)到上述目的。

從外表上看，這類不法文件雖然擁有TXT 文檔圖標(biāo)，但是，在文件夾選項(xiàng)窗口中的“查看”面板中取消“隱藏已知文件類型的擴(kuò)展名”項(xiàng)，讓文件擴(kuò)展名徹底顯示出來。但是該類文件卻沒有顯示擴(kuò)展名。

我們知道，不同的文件都擁有文件頭信息，只要使用記事本將對應(yīng)的文件打開，通過查閱文件頭信息，就很容易了解其類型。例如，將一個EXE 文件拖放到記事本中，就會發(fā)現(xiàn)其是以“MZ”開頭的，這就是EXE 文件的特征。將一個JPG 圖像文件使用記事本打開，會發(fā)現(xiàn)其文件頭包含“JFIF”信息等。

但是，在該類假冒的文本文件右鍵菜單上點(diǎn)擊“打開方式”項(xiàng)，卻無法使用記事本打開。而在WinHEX 中打開該假冒的文本，在右側(cè)的ASCII 區(qū)域則可以清晰地看到該文件的真實(shí)內(nèi)容，里面的網(wǎng)址明顯是掛馬網(wǎng)址。而且在WinHEX 的文件名稱標(biāo)簽上顯示其真實(shí)名稱，例如“xxx.url” “xxx”等為具體的文件名。

看來，這根本不是什么文本文件，而是包含特殊內(nèi)容的URL 地址文件。

例如，筆者就遇到過這種假冒的文本文件，在WinHEX中將其打開后，再點(diǎn)擊菜單“文件”→“另存為”項(xiàng)，將文件名稱修改為“xxx.txt”。這樣，就可以直接使用記事本了解其廬山真面目了。對其進(jìn)行分析后，筆者發(fā)現(xiàn)它的前兩行定義的目標(biāo)頁面，當(dāng)雙擊該文件后，就直接進(jìn)入了該頁面。毫無疑問，其中包含了木馬等惡意程序。第三行和第四行定義了一個快捷方式的網(wǎng)址，第五句中的“Modified”字樣可能是修改屬性的意思，用來修改上述內(nèi)容的屬性信息。第六行和第七行是使用系統(tǒng)路徑中的“shell32.dll”中包含的圖標(biāo)信息，來偽裝該文件圖標(biāo)，其中第70號圖標(biāo)對應(yīng)的就是TXT 圖標(biāo)。

該頁面其實(shí)是一個掛馬網(wǎng)站，當(dāng)進(jìn)入該網(wǎng)站后，指定網(wǎng)址中的名為“xxx.exe”的木馬病毒就會侵入系統(tǒng)。

由此可以得出對付這種危險文件的方法，一旦發(fā)現(xiàn)看起來很像TXT、Word 等類型的文件，而且使用正常方法無法顯示其擴(kuò)展名，同時其名稱頗具迷惑性的文件，最好使用記事本或者WinHEX等工具將其手工打開，來充分了解其內(nèi)容。

其實(shí)，要想查看這類特殊的文件類型，還有一種簡單易行的方法，只需在CMD 窗口中切換到目標(biāo)路徑下，執(zhí)行“dir/a”命令，就可以讓其擴(kuò)展名顯露無遺。如果發(fā)現(xiàn)其中包含可疑網(wǎng)址，最好將它直接刪除，以避免危害系統(tǒng)安全。

黑客為了實(shí)現(xiàn)入侵目的，往往會采用各種手段來麻痹用戶。例如，將這類文件起一個具有迷惑性的名字，通過郵箱或論壇等途徑傳送，或者將它和正常軟件打包在一起，讓用戶在毫無防范之際中招。

其實(shí)，除了這種URL 欺騙之外，還有一種URL 欺騙方式也值得警惕，那就是通過偽造超級鏈接，來誘惑用戶進(jìn)入非法網(wǎng)站。例如，當(dāng)筆者某次瀏覽網(wǎng)頁時，指向一個名稱很正規(guī)的鏈接，在瀏覽器狀態(tài)欄上也顯示這是一個很常用的網(wǎng)站，但是當(dāng)點(diǎn)擊該鏈接后，卻進(jìn)入了一個內(nèi)容雜亂的網(wǎng)站，殺毒軟件也彈出警告，提示有危險的程序試圖下載運(yùn)行。

筆者瀏覽上述頁面的源代碼，發(fā)現(xiàn)在頁面上顯示的“www.xxx.com”鏈接顯得很正規(guī)，并沒有什么可疑之處。當(dāng)指向該鏈接后，在狀態(tài)欄上也會顯示“www.xxx.com”字樣。其實(shí)這都是假象，該鏈接真實(shí)的地址其實(shí)是一個非法網(wǎng)站，當(dāng)您誤擊該鏈接后，自然會掉入陷阱之中。

關(guān)于URL 地址欺騙類型有多種，要想了解這些攻擊的伎倆，首先需要知曉URL的結(jié)構(gòu)組成。

大家一般都認(rèn)為URL就是WWW 網(wǎng)址或者FTP 地址，其實(shí)不然。URL 的全稱是Uniform Resource Loca tiors，即統(tǒng)一資源定位器。它的標(biāo)準(zhǔn)在RFC1738 中被定義。其中最普遍的形式定義為“:”?！?scheme>”部分是網(wǎng)絡(luò)協(xié)議的名稱，“”被定義為“//:@:/”，其中只有“”部分是必須的，“；”和“@字符具有特殊的含義。這樣，服務(wù)器才可以解析完整的字符串。如果用戶名和密碼包含在URL 中，“”部分則只能從“@”字符后開始。

了解了URL 的組成結(jié)構(gòu)之后，我們來看一個最古老的URL 欺騙方法。例如，對于網(wǎng)址“http://www.sohu.com@www.xxx.net”來說，其中的“www.xxx.net”代表惡意網(wǎng)址。從表面上看，用戶很容易被其前部的“http://www.sohu.com”迷惑，以為這是一個正規(guī)的大網(wǎng)站，而放松對該地址的防范。其實(shí)，在該地址中，“@”符號之前的部分是虛假的用戶名，服務(wù)器會忽略它，最終打開的確實(shí)其后的“www.xxx.net”。

當(dāng)然，這類比較初級的URL 欺騙方式對于高版本的IE 是無效的，但是對于很多第三方的瀏覽器，例如遨游、世界之窗、GreenBrowser 等是有效的，所以當(dāng)使用這些瀏覽器時，還是應(yīng)該防范這類URL 地址欺騙。

因?yàn)槌Ｒ?guī)的URL 地址很容易讓惡意網(wǎng)站現(xiàn)行，為了更好地蒙騙用戶，攻擊者通常會采取更改URL 地址格式或者是加密的方式，來偽裝惡意URL 地址。在一般情況下，IP 都是采用諸如“aaa.bbb.ccc.ddd”的劃分格式，但其實(shí)也可以八進(jìn)制、十進(jìn)制或者十六進(jìn)制的方式進(jìn)行表述。從用法上來說，不管采用何種進(jìn)制，都不影響對目標(biāo)IP 的訪問。如果攻擊者在某個IP 上布設(shè)了木馬網(wǎng)站，然后采用以上特殊的進(jìn)制格式來偽裝訪問網(wǎng)站，就很容易讓用戶上當(dāng)受騙。除了更改進(jìn)制格式外，黑客往往會對URL 進(jìn)行加密處理，來進(jìn)一步對其進(jìn)行偽裝。

那么，面對變化多端的URL 欺騙，該如何加以防范呢？雖然URL 欺騙很狡猾，不過也有其弱點(diǎn)。我們只需在訪問之前進(jìn)行一番檢測，就可以讓它徹底露出原型。

例如，利用Netcraft 公司的網(wǎng)站信息查詢引擎，使用瀏覽器就可以輕松實(shí)現(xiàn)查詢。打開網(wǎng)址“http://toolbar.netcraft.com/site_report”，在其中的“Lookup another URL”欄中可以輸入網(wǎng)址，回車后就可以對其進(jìn)行深入檢測，并顯示一份詳細(xì)的報表，包括該網(wǎng)站建立日期、網(wǎng)站的IP、所屬國家、域名注冊商、主機(jī)所在地址、網(wǎng)站全球排名（Site rank）等具體數(shù)據(jù)，甚至包括網(wǎng)絡(luò)主機(jī)上次啟動的時間。

在“Hosting History”中列出網(wǎng)站變遷歷史的清單，包括IP、服務(wù)器類型、操作系統(tǒng)種類以及上次更新時間等數(shù)據(jù)。

利用這些數(shù)據(jù)，不僅可以洞察網(wǎng)站的具體信息，同時可以有效地對抗釣魚網(wǎng)站的欺騙。當(dāng)然，也可以在虛擬運(yùn)行環(huán)境中訪問可疑網(wǎng)站，來檢測其是否存不法行為。

例如，使用一些殺毒軟件提供的隔離沙箱功能，就可以在保證系統(tǒng)安全的前提下，訪問存在疑點(diǎn)的URL 地址。因?yàn)樗弧败浗痹谏诚渲?，自然不會危害真?shí)的系統(tǒng)。例如，在360 安全衛(wèi)士的隔離沙箱主界面中點(diǎn)擊“運(yùn)行指定程序”按鈕，啟動世界之窗瀏覽器，在該瀏覽器頂部會顯示“360 隔離沙箱保護(hù)中”字樣，說明其活動已經(jīng)和真實(shí)系統(tǒng)隔開，在其中就可以放心大膽地打開存在問題的URL 地址，來查看其中是否存在問題了。