網(wǎng)頁(yè)土木機(jī)理與防御研究

網(wǎng)頁(yè)土木機(jī)理與防御研究

web特洛伊木馬是近年來(lái)出現(xiàn)的一種新的惡意代碼，通常由web服務(wù)器網(wǎng)站自動(dòng)行插入web服務(wù)器網(wǎng)站。對(duì)于客戶(hù)端訪(fǎng)問(wèn)網(wǎng)站，應(yīng)用客戶(hù)端瀏覽器及其插件的漏洞自動(dòng)嵌入客戶(hù)端。web特洛伊木馬的表現(xiàn)形式是有鏈接關(guān)系的url頁(yè)面。在web上，特洛伊木馬是一組惡意的可執(zhí)行文件，包括java腳本等。在web上，當(dāng)客戶(hù)端加載和渲染時(shí)，惡意代碼在客戶(hù)端瀏覽器（組）上運(yùn)行，并使用瀏覽器和插件上的漏洞，以隱藏、安裝、執(zhí)行病毒或間諜軟件等惡意可執(zhí)行文件。web特洛伊木馬是一種客戶(hù)端惡意軟件。相比之下，蠕蟲(chóng)等人通過(guò)網(wǎng)絡(luò)積極復(fù)制和傳播。web特洛伊木馬應(yīng)用程序服務(wù)器為用戶(hù)下載并攻擊。該客戶(hù)端的攻擊者可以有效地繞過(guò)防火墻檢測(cè)，將惡意代碼嵌入客戶(hù)端，并自動(dòng)完成用戶(hù)不知道的惡意可執(zhí)行文件的下載和執(zhí)行。在國(guó)外，這種類(lèi)型的攻擊被稱(chēng)為dll-why-下載（中國(guó)被稱(chēng)為“穿過(guò)下載”或“穿越下載”）。網(wǎng)頁(yè)木馬多被用于讓客戶(hù)端過(guò)路式下載“盜號(hào)木馬”,竊取客戶(hù)端個(gè)人信息,它已經(jīng)成為黑客謀求經(jīng)濟(jì)利益的重要工具.圍繞著網(wǎng)頁(yè)木馬逐漸形成了具有一定規(guī)模、分工明確的地下經(jīng)濟(jì)鏈:股票賬號(hào)、信用卡賬號(hào)乃至游戲賬號(hào)等都可能被盜號(hào)木馬竊取,甚至網(wǎng)上虛擬貨幣也在黑客盜取的目標(biāo)范圍之內(nèi)網(wǎng)頁(yè)木馬憑借其自身的獨(dú)有特點(diǎn)成為了安全領(lǐng)域的學(xué)術(shù)研究熱點(diǎn).2005年開(kāi)始,國(guó)內(nèi)外各級(jí)安全學(xué)術(shù)會(huì)議上陸續(xù)都有圍繞網(wǎng)頁(yè)木馬防御的相關(guān)論文發(fā)表.圍繞網(wǎng)頁(yè)木馬的攻防博弈在持續(xù)進(jìn)行:攻擊者不斷采用一些新的手段來(lái)提高網(wǎng)頁(yè)木馬攻擊成功率以及增強(qiáng)其隱蔽性;防御方安全研究人員隨著對(duì)網(wǎng)頁(yè)木馬研究的深入,不斷提出相應(yīng)的檢測(cè)和防范方法.本文主要對(duì)網(wǎng)頁(yè)木馬攻防雙方的思路、方法、技術(shù)進(jìn)行歸納、分類(lèi)及總結(jié),旨在明確網(wǎng)頁(yè)木馬工作機(jī)制與特性,并總結(jié)防御方的研究現(xiàn)狀以及探討攻防雙方的發(fā)展趨勢(shì),為進(jìn)一步研究作參考.本文第1節(jié)介紹網(wǎng)頁(yè)木馬工作機(jī)制,主要包括網(wǎng)頁(yè)木馬定義、典型攻擊流程、漏洞利用機(jī)理及一些提高攻擊成功率、增強(qiáng)自身隱蔽性方面的對(duì)抗手段.第2節(jié)從監(jiān)測(cè)、特征分析、防范這3方面對(duì)網(wǎng)頁(yè)木馬防御方的研究進(jìn)行總結(jié)和分析.第3節(jié)討論網(wǎng)頁(yè)木馬攻防雙方的發(fā)展趨勢(shì)并對(duì)全文進(jìn)行總結(jié).1網(wǎng)絡(luò)特洛伊木馬操作機(jī)制和特點(diǎn)1.1網(wǎng)頁(yè)木馬定義網(wǎng)頁(yè)木馬是在宏病毒、木馬等惡意代碼基礎(chǔ)上發(fā)展出來(lái)的一種新形態(tài)的惡意代碼.類(lèi)似于宏病毒通過(guò)Word等文檔中的惡意宏命令實(shí)現(xiàn)攻擊.網(wǎng)頁(yè)木馬一般通過(guò)HTML頁(yè)面中的一段惡意腳本達(dá)到在客戶(hù)端下載、執(zhí)行惡意可執(zhí)行文件的目的,而整個(gè)攻擊流程是一個(gè)“特洛伊木馬式”的隱蔽的、用戶(hù)無(wú)察覺(jué)的過(guò)程,因此,國(guó)內(nèi)研究者通常稱(chēng)該種攻擊方式為“網(wǎng)頁(yè)木馬”.目前,學(xué)術(shù)界對(duì)網(wǎng)頁(yè)木馬尚無(wú)一個(gè)明確的、統(tǒng)一的定義.Wiki將它定義為一種用戶(hù)不知情的下載綜上所述,本文將網(wǎng)頁(yè)木馬定義為:一種以JavaScript,VBScript,CSS等頁(yè)面元素作為攻擊向量,利用瀏覽器及插件中的漏洞,在客戶(hù)端隱蔽地下載并執(zhí)行惡意程序的基于Web的客戶(hù)端攻擊.以下是與網(wǎng)頁(yè)木馬相關(guān)的幾個(gè)術(shù)語(yǔ)·攻擊腳本:作為攻擊向量的JavaScript,VBScript代碼片段;·攻擊頁(yè)面(exploitpage):攻擊向量所在頁(yè)面;·網(wǎng)頁(yè)木馬宿主站點(diǎn)(exploitsite):攻擊腳本/攻擊頁(yè)面所在站點(diǎn);·惡意可執(zhí)行文件下載站點(diǎn)(malwaredistributionsite):網(wǎng)頁(yè)木馬攻擊成功后,在客戶(hù)端植入的惡意程序的所在站點(diǎn).為了便于表述,文中將其簡(jiǎn)稱(chēng)為“下載站點(diǎn)”.1.2被動(dòng)訪(fǎng)問(wèn)的頁(yè)面攻擊網(wǎng)頁(yè)木馬采用一種被動(dòng)攻擊模式(即pull-based模式):攻擊者針對(duì)瀏覽器及插件的某個(gè)特定漏洞構(gòu)造、部署好攻擊頁(yè)面之后,并不像發(fā)送垃圾郵件那樣主動(dòng)將內(nèi)容推送給受害用戶(hù)(即push-based模式),而是被動(dòng)地等待客戶(hù)端發(fā)起的頁(yè)面訪(fǎng)問(wèn)請(qǐng)求.其典型攻擊流程如圖1所示:1.客戶(hù)端訪(fǎng)問(wèn)攻擊頁(yè)面;2.服務(wù)器做出響應(yīng),將頁(yè)面內(nèi)容返回給客戶(hù)端;3.頁(yè)面被瀏覽器加載、渲染,頁(yè)面中包含的攻擊向量在瀏覽器中被執(zhí)行并嘗試進(jìn)行漏洞利用;4,5.存在該漏洞的客戶(hù)端被攻破,進(jìn)而下載、安裝、執(zhí)行惡意程序.從網(wǎng)頁(yè)木馬的攻擊流程可以看出,網(wǎng)頁(yè)木馬是一種更加隱蔽、更加有效的向客戶(hù)端傳播惡意程序的手段相比較蠕蟲(chóng)以主動(dòng)掃描等方式來(lái)定位受害機(jī)并向其傳播惡意程序,網(wǎng)頁(yè)木馬采用一種“守株待兔”的方式等待客戶(hù)端主動(dòng)對(duì)頁(yè)面發(fā)出訪(fǎng)問(wèn)請(qǐng)求,這種被動(dòng)式的攻擊模式能夠有效地對(duì)抗入侵檢測(cè)、防火墻等系統(tǒng)的安全檢查.1.3依據(jù)api下載和執(zhí)行的漏洞網(wǎng)頁(yè)木馬的核心在于利用客戶(hù)端瀏覽器及其插件的漏洞獲得一定權(quán)限,達(dá)到下載并執(zhí)行惡意程序的目的(如圖1所示中的步驟3~步驟5).其中,漏洞利用代碼多用JavaScript等腳本語(yǔ)言編寫(xiě),一方面在于瀏覽器提供了腳本語(yǔ)言與插件間進(jìn)行交互的API,攻擊腳本通過(guò)畸形調(diào)用不安全的API便可觸發(fā)插件中的漏洞;另一方面,攻擊者也可以利用腳本的靈活特性對(duì)攻擊腳本進(jìn)行一定的混淆處理來(lái)對(duì)抗反病毒引擎的安全檢查.網(wǎng)頁(yè)木馬利用的漏洞主要?dú)w為下述兩類(lèi)1)任意下載API類(lèi)漏洞一些瀏覽器插件在用來(lái)提供下載、更新等功能的API中未進(jìn)行安全檢查,網(wǎng)頁(yè)木馬可以直接利用這些API下載和執(zhí)行任意代碼,如:新浪UC網(wǎng)絡(luò)電視ActiveX控件DonwloadAndInstall接口任意文件下載漏洞在一些復(fù)雜的攻擊場(chǎng)景中,攻擊者將多個(gè)API組合,完成下載和執(zhí)行任意文件的目的.如MS06-014漏洞2)內(nèi)存破壞類(lèi)漏洞網(wǎng)頁(yè)木馬常常利用JavaScript,VbScript腳本向?yàn)g覽器的內(nèi)存空間填充惡意可執(zhí)行指令(ShellCode),并利用該類(lèi)漏洞觸發(fā)執(zhí)行流跳轉(zhuǎn),將執(zhí)行流跳轉(zhuǎn)到ShellCode,ShellCode負(fù)責(zé)下載和執(zhí)行惡意可執(zhí)行文件.按照觸發(fā)執(zhí)行流跳轉(zhuǎn)的原理,該類(lèi)漏洞又可分為:·use-after-free型漏洞.空間已經(jīng)釋放掉的函數(shù)指針或?qū)ο笾羔槍?shí)際上并未被刪除或者置為null,黑客精心構(gòu)造,將指針指向的內(nèi)存空間填充惡意指令或者精巧的數(shù)據(jù),當(dāng)程序的其他部分再次引用該指針時(shí)引起惡意指令的執(zhí)行或者控制邏輯的改變.典型的,如MS09-002、“極風(fēng)”、“極光”等漏洞·溢出漏洞.一般由于插件API對(duì)參數(shù)長(zhǎng)度、格式等檢查不嚴(yán)格所致,如API接受了過(guò)長(zhǎng)的參數(shù)造成緩沖區(qū)溢出,進(jìn)而覆蓋了函數(shù)返回地址等,在黑客的精心構(gòu)造下,使得程序執(zhí)行流跳轉(zhuǎn)到預(yù)先放入內(nèi)存的ShellCode.典型的,如聯(lián)眾游戲ActiveX溢出漏洞、暴風(fēng)影音ActiveX參數(shù)超長(zhǎng)溢出、超星閱讀器ActiveX參數(shù)溢出漏洞、realplayerActiveX參數(shù)溢出、迅雷ActiveX漏洞等;·瀏覽器解析漏洞.use-after-free型漏洞和API溢出漏洞通常通過(guò)腳本惡意調(diào)用API觸發(fā),而瀏覽器解析漏洞一般在瀏覽器解析畸形構(gòu)造的HTML文檔或其中包含的CSS文檔、XML文檔時(shí)被觸發(fā),造成執(zhí)行流跳轉(zhuǎn)到預(yù)先放入內(nèi)存中的惡意可執(zhí)行指令,如MS08-078MicrosoftInternetExplorer處理XML遠(yuǎn)程代碼執(zhí)行漏洞1.4網(wǎng)頁(yè)掛馬攻擊從網(wǎng)頁(yè)木馬的典型攻擊流程和漏洞利用機(jī)理可知,網(wǎng)頁(yè)木馬的核心是一個(gè)帶有攻擊腳本的或是一個(gè)畸形構(gòu)造的攻擊頁(yè)面,只有當(dāng)客戶(hù)端訪(fǎng)問(wèn)該攻擊頁(yè)面時(shí)才可能被攻擊.攻擊者若想大規(guī)模地感染客戶(hù)端主機(jī),就需要保證攻擊頁(yè)面有一定的訪(fǎng)問(wèn)量:在網(wǎng)頁(yè)木馬發(fā)展初期,攻擊者自己搭建站點(diǎn)來(lái)部署攻擊頁(yè)面并利用一些社會(huì)工程學(xué)方法誘使網(wǎng)民訪(fǎng)問(wèn);網(wǎng)民的安全意識(shí)逐漸增強(qiáng),使得攻擊者不得不去尋找新的手段來(lái)增加攻擊頁(yè)面訪(fǎng)問(wèn)量其中最主要的手段就是網(wǎng)頁(yè)掛馬.網(wǎng)頁(yè)掛馬是通過(guò)內(nèi)嵌鏈接將攻擊腳本/攻擊頁(yè)面嵌入到一個(gè)正規(guī)頁(yè)面或利用重定向機(jī)制將對(duì)正規(guī)頁(yè)面的訪(fǎng)問(wèn)重定向至攻擊頁(yè)面.內(nèi)嵌鏈接是HTML頁(yè)面中一類(lèi)特殊的超鏈接形式,其特點(diǎn)是:當(dāng)瀏覽器訪(fǎng)問(wèn)頁(yè)面時(shí),無(wú)需用戶(hù)點(diǎn)擊,頁(yè)面中的內(nèi)嵌鏈接指向的內(nèi)容就會(huì)被自動(dòng)加載,如?img?標(biāo)簽等.攻擊者進(jìn)行網(wǎng)頁(yè)掛馬時(shí)經(jīng)常利用的內(nèi)嵌鏈接為帶有src屬性的?iframe?,?frame?和?script?標(biāo)簽:瀏覽器訪(fǎng)問(wèn)頁(yè)面時(shí),?script?標(biāo)簽的src屬性指向的腳本將作為內(nèi)嵌腳本被自動(dòng)加載并在腳本引擎上下文中執(zhí)行,?iframe?,?frame?等標(biāo)簽的src屬性指向的頁(yè)面也將作為內(nèi)嵌頁(yè)面被自動(dòng)加載.攻擊者常將嵌入的?iframe?,?frame?標(biāo)簽的width,height屬性設(shè)置為0來(lái)避免被掛馬的正規(guī)頁(yè)面在視覺(jué)效果上發(fā)生變化.攻擊者通常利用網(wǎng)站服務(wù)器的漏洞獲得相應(yīng)權(quán)限來(lái)篡改頁(yè)面、嵌入攻擊腳本/攻擊頁(yè)面,但這種方式很難適用于那些安全防御比較嚴(yán)密的大型站點(diǎn);由于瀏覽器在訪(fǎng)問(wèn)頁(yè)面時(shí)會(huì)加載其整個(gè)動(dòng)態(tài)視圖動(dòng)態(tài)視圖中被加入攻擊腳本/攻擊頁(yè)面的正規(guī)頁(yè)面被稱(chēng)為“l(fā)andingpage”雖然網(wǎng)頁(yè)掛馬是對(duì)網(wǎng)站服務(wù)器中的頁(yè)面進(jìn)行篡改,但攻擊者進(jìn)行網(wǎng)頁(yè)掛馬的目的在于攻擊客戶(hù)端,瀏覽器在訪(fǎng)問(wèn)被掛馬頁(yè)面時(shí),依照感染鏈將攻擊腳本/攻擊頁(yè)面加載到客戶(hù)端,最終讓客戶(hù)端自動(dòng)下載、執(zhí)行惡意程序Google的研究指出,其搜索結(jié)果中1.3%的頁(yè)面為被掛馬網(wǎng)頁(yè)1.5新形態(tài)攻擊形態(tài)網(wǎng)頁(yè)木馬是以頁(yè)面為攻擊向量載體的基于Web的客戶(hù)端攻擊方式,同時(shí)也是一種新形態(tài)的惡意代碼,其組成和結(jié)構(gòu)與病毒等惡意代碼有很大區(qū)別.在這種新的攻擊形態(tài)中,攻擊者常使用一些靈活多變的技術(shù)和手段來(lái)提高網(wǎng)頁(yè)木馬攻擊成功率以及躲避防御方的檢測(cè)與反制.1.5.1動(dòng)態(tài)環(huán)境加載網(wǎng)頁(yè)掛馬雖然使客戶(hù)端訪(fǎng)問(wèn)被掛馬頁(yè)面時(shí)自動(dòng)加載攻擊腳本/攻擊頁(yè)面,但卻無(wú)法保證攻擊腳本/攻擊頁(yè)面被客戶(hù)端加載后一定能攻擊成功:一方面,攻擊頁(yè)面/攻擊腳本針對(duì)的漏洞一般只存在于特定版本的瀏覽器和插件中,而客戶(hù)端瀏覽環(huán)境各異,若攻擊向量與客戶(hù)端瀏覽環(huán)境不匹配,就會(huì)導(dǎo)致攻擊失敗(如圖1中左側(cè)部分所示);另一方面,即使客戶(hù)端瀏覽環(huán)境中存在相應(yīng)漏洞,但操作系統(tǒng)防御技術(shù)的不斷升級(jí),使得該漏洞被成功利用變得更加困難.攻擊者通過(guò)“環(huán)境探測(cè)+動(dòng)態(tài)加載”模式來(lái)應(yīng)對(duì)客戶(hù)端瀏覽環(huán)境的多樣性,并在攻擊腳本/攻擊頁(yè)面中采用HeapSpray·環(huán)境探測(cè)+動(dòng)態(tài)加載為了應(yīng)對(duì)客戶(hù)端瀏覽環(huán)境的多樣性,攻擊者采用一種all-in-one的方式將針對(duì)不同漏洞的攻擊代碼全部包含進(jìn)單個(gè)攻擊頁(yè)面中.但這種方式導(dǎo)致大量攻擊代碼在瀏覽器中執(zhí)行,容易使瀏覽器反應(yīng)遲緩,引起用戶(hù)警覺(jué).為了在提高網(wǎng)頁(yè)木馬的攻擊效率和成功率的同時(shí)保證攻擊的隱蔽性,攻擊者采用了“一個(gè)探測(cè)頁(yè)面+多個(gè)攻擊腳本/攻擊頁(yè)面”的“環(huán)境探測(cè)+動(dòng)態(tài)加載”模式“環(huán)境探測(cè)+動(dòng)態(tài)加載”型網(wǎng)頁(yè)木馬中充分利用了JavaScript等客戶(hù)端腳本的靈活性,能夠根據(jù)客戶(hù)端的不同配置動(dòng)態(tài)地、有選擇地加載不同的攻擊腳本/攻擊頁(yè)面.這種方式提高了網(wǎng)頁(yè)木馬對(duì)不同客戶(hù)端瀏覽環(huán)境的攻擊成功率,同時(shí)也保證了攻擊的效率和隱蔽性.HeapSpray主要用于輔助內(nèi)存破壞類(lèi)漏洞的利用.ASLR等防御技術(shù)使得該類(lèi)漏洞被觸發(fā)時(shí)無(wú)法準(zhǔn)確地將執(zhí)行流跳轉(zhuǎn)到ShellCode所在位置,從而導(dǎo)致攻擊失敗.而HeapSpray的原理為:在ShellCode前添加大量無(wú)用指令(如NOP指令)構(gòu)成的著陸區(qū)(sledge),并通過(guò)JavaScript字符串賦值將這種“著陸區(qū)+ShellCode”結(jié)構(gòu)大量填充進(jìn)堆空間;網(wǎng)頁(yè)木馬通過(guò)漏洞利用將執(zhí)行流跳至堆空間后,即使沒(méi)有準(zhǔn)確跳轉(zhuǎn)至ShellCode的位置,由于此時(shí)堆空間中的大部分區(qū)域都已被著陸區(qū)覆蓋,執(zhí)行流有相當(dāng)大的可能會(huì)落在著陸區(qū),執(zhí)行流執(zhí)行著陸區(qū)中一系列的NOP無(wú)用指令之后,進(jìn)而會(huì)執(zhí)行ShellCode.HeapSpray能夠有效繞過(guò)ASLR,提高了網(wǎng)頁(yè)木馬的攻擊成功率.1.5.2動(dòng)態(tài)域名解析技術(shù)網(wǎng)頁(yè)木馬是一個(gè)或一組有鏈接關(guān)系、含有(用JavaScript等腳本語(yǔ)言編寫(xiě)的)惡意代碼的HTML頁(yè)面,頁(yè)面間通過(guò)復(fù)雜的結(jié)構(gòu)與多種靈活機(jī)制相連接,更容易隱蔽自身以繞過(guò)檢測(cè).攻擊者常通過(guò)混淆免殺、人機(jī)識(shí)別、動(dòng)態(tài)域名解析等技術(shù)手段來(lái)躲避檢測(cè)與追蹤.·混淆免殺攻擊者常對(duì)攻擊腳本作各種混淆、加密,消除其原有的特征,以躲避特征掃描工具的檢測(cè).具體的混淆方式有,將字符串中填充大量垃圾字符,以及采用十六進(jìn)制編碼、Unicode編碼、escape函數(shù)編碼和一些字符串處理函數(shù),甚至可以對(duì)一段腳本進(jìn)行多次混淆.網(wǎng)頁(yè)木馬利用腳本的動(dòng)態(tài)特性,在解釋執(zhí)行混淆腳本的過(guò)程中逐步還原出攻擊腳本的真實(shí)形態(tài),如用正則表達(dá)式來(lái)代替或去掉垃圾字符、用eval函數(shù)執(zhí)行解碼后的字符串.攻擊者常使用混淆免殺機(jī)制來(lái)對(duì)抗一些基于靜態(tài)特征的檢測(cè).·人機(jī)識(shí)別為了躲避防御方的自動(dòng)化檢測(cè),網(wǎng)頁(yè)木馬還常常采用一些人機(jī)識(shí)別手段,認(rèn)定客戶(hù)端是人工瀏覽行為后再觸發(fā)進(jìn)一步的感染(如用戶(hù)點(diǎn)擊某按鈕之后才觸發(fā)攻擊);通過(guò)設(shè)置、檢查植入在客戶(hù)端的一個(gè)標(biāo)識(shí)參數(shù)等防重入機(jī)制避免網(wǎng)頁(yè)木馬宿主站點(diǎn)中多個(gè)攻擊頁(yè)面被同一主機(jī)重復(fù)訪(fǎng)問(wèn),進(jìn)而避開(kāi)防御方對(duì)該站點(diǎn)的自動(dòng)化檢測(cè).·動(dòng)態(tài)域名解析動(dòng)態(tài)域名解析是目前比較常見(jiàn)的DNS解析技術(shù),即將一個(gè)域名解析到一個(gè)IP動(dòng)態(tài)變化的主機(jī).攻擊者濫用動(dòng)態(tài)域名解析服務(wù),申請(qǐng)大量免費(fèi)動(dòng)態(tài)域名,根據(jù)動(dòng)態(tài)域名解析機(jī)制隨意改變網(wǎng)頁(yè)木馬宿主站點(diǎn)的位置而不影響用戶(hù)通過(guò)域名對(duì)攻擊頁(yè)面的訪(fǎng)問(wèn).這種流竄作案方式增加了防御方的追蹤難度.網(wǎng)頁(yè)木馬為了躲避檢測(cè)及增加隱蔽性,還采用了多種其他機(jī)制,如:使用隨機(jī)的URL參數(shù)來(lái)躲避黑名單過(guò)濾;將JavaScript和VBScript混用來(lái)躲避基于單一腳本分析的檢測(cè).相比較傳統(tǒng)的病毒,網(wǎng)頁(yè)木馬具有獨(dú)特的、復(fù)雜的結(jié)構(gòu)和多種靈活機(jī)制,更容易繞過(guò)檢測(cè)與追蹤,能夠更隱蔽地進(jìn)行大規(guī)模的感染,因此具有更大的危害性.1.6網(wǎng)頁(yè)木馬兩個(gè)階段網(wǎng)頁(yè)木馬是一種基于Web的客戶(hù)端攻擊方式,也是在傳統(tǒng)木馬、病毒等基礎(chǔ)上發(fā)展而來(lái)的一種新形態(tài)的惡意代碼,但與傳統(tǒng)木馬、病毒相比,其在結(jié)構(gòu)與形態(tài)等方面有一些自己獨(dú)有的特點(diǎn):(1)基于Web的被動(dòng)式攻擊模式:攻擊者通過(guò)網(wǎng)頁(yè)掛馬將網(wǎng)頁(yè)木馬廣泛置入Web服務(wù)器端的HTML頁(yè)面中,并采用“守株待兔”的被動(dòng)方式等待客戶(hù)端在瀏覽被掛馬頁(yè)面時(shí)加載網(wǎng)頁(yè)木馬.隨著近年來(lái)全球網(wǎng)頁(yè)訪(fǎng)問(wèn)量呈爆炸式增長(zhǎng),這種基于Web的被動(dòng)式攻擊模式使網(wǎng)頁(yè)木馬能夠十分隱蔽并有效地感染大量客戶(hù)端;(2)兩級(jí)感染模式:網(wǎng)頁(yè)木馬本身是一種新形態(tài)的惡意代碼,目的在于使客戶(hù)端自動(dòng)下載、執(zhí)行惡意程序在網(wǎng)頁(yè)木馬典型的攻擊流程中涉及兩種不同類(lèi)型的惡意代碼形態(tài)——作為攻擊向量的JavaScriptVBScript,CSS等頁(yè)面元素以及最終被下載、執(zhí)行的惡意程序,這兩種形態(tài)分別對(duì)應(yīng)于客戶(hù)端感染的兩個(gè)階段:i.漏洞利用階段:網(wǎng)頁(yè)木馬被客戶(hù)端加載后,攻擊向量利用內(nèi)存破壞類(lèi)漏洞將執(zhí)行流跳轉(zhuǎn)到ShellCode或者直接利用任意下載API,在客戶(hù)端下載、執(zhí)行盜號(hào)木馬或僵尸程序等惡意程序;ii.惡意程序執(zhí)行階段:下載的盜號(hào)木馬或僵尸程序等惡意程序,竊取客戶(hù)端的帳號(hào)等隱私信息或使客戶(hù)端成為“肉雞”加入僵尸網(wǎng)絡(luò);(3)通過(guò)內(nèi)嵌鏈接構(gòu)成的樹(shù)狀多頁(yè)面結(jié)構(gòu):攻擊者通過(guò)網(wǎng)頁(yè)掛馬將網(wǎng)頁(yè)木馬掛載到被掛馬網(wǎng)頁(yè)的動(dòng)態(tài)視圖中,客戶(hù)端在訪(fǎng)問(wèn)被掛馬網(wǎng)頁(yè)時(shí)會(huì)沿著網(wǎng)頁(yè)木馬感染鏈自動(dòng)加載網(wǎng)頁(yè)木馬;“環(huán)境探測(cè)+動(dòng)態(tài)加載”機(jī)制使網(wǎng)頁(yè)木馬可以在探測(cè)客戶(hù)端操作系統(tǒng)、瀏覽器及插件版本等信息后,有針對(duì)性地動(dòng)態(tài)加載漏洞利用代碼來(lái)提高攻擊效率及隱蔽性.被掛馬頁(yè)面、探測(cè)頁(yè)面和多個(gè)攻擊腳本/攻擊頁(yè)面之間最終形成了一種靈活多變的、通過(guò)內(nèi)嵌鏈接構(gòu)成的樹(shù)狀多頁(yè)面結(jié)構(gòu);(4)靈活多變的隱蔽手段:網(wǎng)頁(yè)木馬以JavaScript等頁(yè)面元素作為攻擊向量,以HTML頁(yè)面作為攻擊向量載體發(fā)起對(duì)客戶(hù)端的攻擊;攻擊者通過(guò)靈活多變的手段來(lái)隱蔽自身,如對(duì)腳本進(jìn)行混淆以掩蓋攻擊意圖并躲避檢測(cè),并采用人機(jī)識(shí)別、動(dòng)態(tài)域名解析等手段來(lái)躲避防御方的檢測(cè)與反制.2網(wǎng)頁(yè)木馬防御技術(shù)研究攻擊者通過(guò)網(wǎng)頁(yè)掛馬將網(wǎng)頁(yè)木馬掛載到可信度較高的正規(guī)頁(yè)面中,客戶(hù)端在訪(fǎng)問(wèn)這些被掛馬頁(yè)面時(shí),攻擊頁(yè)面/攻擊腳本作為被掛馬頁(yè)面動(dòng)態(tài)視圖的一部分被自動(dòng)加載并利用瀏覽器的漏洞在客戶(hù)端下載、執(zhí)行僵尸程序等各類(lèi)惡意可執(zhí)行代碼.整個(gè)感染過(guò)程由客戶(hù)端訪(fǎng)問(wèn)被掛馬頁(yè)面時(shí)開(kāi)始,并隱蔽在用戶(hù)正常的頁(yè)面瀏覽活動(dòng)中,這種感染方式與蠕蟲(chóng)等相比,能夠更加隱蔽、有效地將惡意程序植入客戶(hù)端.網(wǎng)頁(yè)木馬是一種高效、隱蔽的客戶(hù)端攻擊方式,攻擊者對(duì)互聯(lián)網(wǎng)上大量頁(yè)面進(jìn)行網(wǎng)頁(yè)掛馬,破壞了互聯(lián)網(wǎng)的正常瀏覽環(huán)境.為了有效應(yīng)對(duì)該種安全威脅,防御方重點(diǎn)關(guān)注如下幾個(gè)方面:1)在互聯(lián)網(wǎng)范圍內(nèi)大規(guī)模進(jìn)行網(wǎng)頁(yè)掛馬檢測(cè),掌握攻擊者進(jìn)行網(wǎng)頁(yè)掛馬的范圍及趨勢(shì),使網(wǎng)站管理員及時(shí)做出應(yīng)急響應(yīng),移除頁(yè)面中的惡意內(nèi)容.這一過(guò)程涉及到一些具體的網(wǎng)頁(yè)木馬檢測(cè)技術(shù);2)通過(guò)對(duì)網(wǎng)頁(yè)木馬樣本的分析,了解網(wǎng)頁(yè)木馬新的對(duì)抗手段,提取網(wǎng)頁(yè)木馬新的特征,指導(dǎo)防御方更好地進(jìn)行檢測(cè)和防范;3)網(wǎng)頁(yè)木馬防范.網(wǎng)頁(yè)木馬是一種部署在網(wǎng)站服務(wù)器中、針對(duì)客戶(hù)端實(shí)施的攻擊;如何在網(wǎng)頁(yè)木馬部署、實(shí)施攻擊的各個(gè)階段對(duì)其進(jìn)行有效防范,是防御方的研究重點(diǎn).2.1清除互聯(lián)網(wǎng)界面內(nèi)惡意,增強(qiáng)互聯(lián)網(wǎng)關(guān)注度在互聯(lián)網(wǎng)中大規(guī)模進(jìn)行頁(yè)面檢查,檢測(cè)出被掛馬頁(yè)面,是網(wǎng)頁(yè)木馬防御的重要環(huán)節(jié):一方面,可以通知被掛馬網(wǎng)站的管理員及時(shí)清除頁(yè)面中嵌入的惡意內(nèi)容,從而改善互聯(lián)網(wǎng)瀏覽環(huán)境;另一方面,有助于讓防御方掌握網(wǎng)頁(yè)掛馬的范圍、趨勢(shì)以及捕獲最新的網(wǎng)頁(yè)木馬樣本.2.1.1大規(guī)模網(wǎng)頁(yè)掛馬檢測(cè)大規(guī)模網(wǎng)頁(yè)掛馬檢測(cè)的基本思路為:使用爬蟲(chóng)爬取互聯(lián)網(wǎng)頁(yè)面,將爬取到的URL輸入到檢測(cè)環(huán)境——客戶(hù)端蜜罐中進(jìn)行網(wǎng)頁(yè)木馬檢測(cè).客戶(hù)端蜜罐(clienthoneypot)這一概念首先由國(guó)際蜜網(wǎng)項(xiàng)目組(TheHoneyneProject)的Spitzner針對(duì)網(wǎng)頁(yè)木馬這種被動(dòng)式的客戶(hù)端攻擊而提出.在網(wǎng)頁(yè)掛馬檢測(cè)時(shí),客戶(hù)端蜜罐根據(jù)URL主動(dòng)地向網(wǎng)站服務(wù)器發(fā)送頁(yè)面訪(fǎng)問(wèn)請(qǐng)求,并通過(guò)一定的檢測(cè)方法分析服務(wù)器返回的頁(yè)面是否帶有惡意內(nèi)容.在互聯(lián)網(wǎng)中大規(guī)模進(jìn)行網(wǎng)頁(yè)掛馬檢測(cè)有兩個(gè)關(guān)鍵點(diǎn):1)提高爬蟲(chóng)爬取的覆蓋率,這方面可以通過(guò)采用大規(guī)模的計(jì)算平臺(tái)、設(shè)計(jì)均衡的并行爬取分配策略等來(lái)實(shí)現(xiàn),本文不作過(guò)多闡述;2)在客戶(hù)端蜜罐中實(shí)現(xiàn)高效、準(zhǔn)確的網(wǎng)頁(yè)木馬檢測(cè)方法,本文將在第2.1.2節(jié)具體介紹各種檢測(cè)方法并加以討論.2.1.2頁(yè)面特征檢測(cè)客戶(hù)端蜜罐可分為高交互式和低交互式兩種:高交互式客戶(hù)端蜜罐中采用一個(gè)真正的帶有漏洞的瀏覽器與網(wǎng)站服務(wù)器交互,并采用基于行為特征判定等方法進(jìn)行網(wǎng)頁(yè)木馬檢測(cè);低交互式客戶(hù)端蜜罐則輕量級(jí)地模擬出一個(gè)瀏覽器,其中,頁(yè)面獲取模塊模擬瀏覽器向服務(wù)器發(fā)出頁(yè)面訪(fǎng)問(wèn)請(qǐng)求,頁(yè)面檢測(cè)模塊采用基于反病毒引擎掃描、基于統(tǒng)計(jì)或機(jī)器學(xué)習(xí)、基于漏洞模擬等方法對(duì)獲取的頁(yè)面進(jìn)行檢測(cè).·基于反病毒引擎掃描的檢測(cè)基于反病毒引擎掃描是研究人員進(jìn)行網(wǎng)頁(yè)掛馬檢測(cè)時(shí)較早使用的方法該方法的優(yōu)點(diǎn)在于可以快速地對(duì)頁(yè)面進(jìn)行檢測(cè),但其缺點(diǎn)在于存在較高的漏報(bào)率:一方面,僅僅依賴(lài)一種純靜態(tài)的特征匹配無(wú)法對(duì)抗網(wǎng)頁(yè)木馬為了提高隱蔽性而普遍采用的混淆免殺機(jī)制,根據(jù)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室在2008年底作的統(tǒng)計(jì)發(fā)現(xiàn)·基于行為特征的檢測(cè)基于行為特征的網(wǎng)頁(yè)木馬檢測(cè)方法通常被用于高交互式客戶(hù)端蜜罐中:即在檢測(cè)環(huán)境中安裝真實(shí)瀏覽器和一些帶有漏洞的插件,驅(qū)動(dòng)瀏覽器訪(fǎng)問(wèn)待檢測(cè)頁(yè)面,通過(guò)監(jiān)測(cè)頁(yè)面訪(fǎng)問(wèn)時(shí)注冊(cè)表變化、文件系統(tǒng)變化、新建進(jìn)程等行為特征來(lái)判定頁(yè)面是否被掛馬.為了便于感染后快速恢復(fù)以及防止惡意程序在本地網(wǎng)絡(luò)中的傳播,高交互式客戶(hù)端蜜罐一般部署在虛擬機(jī)中并作一定的網(wǎng)絡(luò)隔離.2006年,微軟研究院的HoneyMonkey項(xiàng)目基于行為特征的網(wǎng)頁(yè)木馬檢測(cè)方法采用了一個(gè)真實(shí)的瀏覽器,頁(yè)面中的任何內(nèi)嵌元素以及遞歸的內(nèi)嵌元素都會(huì)在訪(fǎng)問(wèn)待檢測(cè)頁(yè)面的過(guò)程中被順次加載,混淆腳本也在“解釋執(zhí)行”過(guò)程中被自動(dòng)解混淆,該方法有效地彌補(bǔ)了基于反病毒引擎掃描的兩點(diǎn)不足;而且,該方法根據(jù)攻擊結(jié)果檢測(cè)網(wǎng)頁(yè)木馬,所以誤報(bào)率比較低.但是,該方法也存在一定的局限性:高交互式客戶(hù)端蜜罐中安裝的瀏覽器和插件版本與攻擊向量不匹配會(huì)導(dǎo)致網(wǎng)頁(yè)木馬攻擊失敗,造成檢測(cè)系統(tǒng)無(wú)法監(jiān)測(cè)到行為特征,形成一定的漏報(bào).此外,該方法采用一個(gè)真實(shí)的瀏覽器并需要監(jiān)測(cè)系統(tǒng)行為,往往有較高的系統(tǒng)代價(jià);并且,該方法也需要較高的時(shí)間代價(jià)等待攻擊成功并出現(xiàn)行為特征(每個(gè)頁(yè)面大約需要2分鐘的檢測(cè)時(shí)間·基于統(tǒng)計(jì)或機(jī)器學(xué)習(xí)的檢測(cè)由于網(wǎng)頁(yè)木馬經(jīng)常對(duì)惡意腳本進(jìn)行混淆來(lái)躲避基于特征碼的檢測(cè),一種檢測(cè)思路是按照頁(yè)面的混淆程度來(lái)進(jìn)行惡意性判斷.文獻(xiàn)[26,27]提出了基于判斷矩陣法的惡意腳本檢測(cè)方法,但該方法僅對(duì)經(jīng)過(guò)encode和escape函數(shù)混淆的惡意腳本有效.隨著越來(lái)越多的大型網(wǎng)站為保障代碼知識(shí)產(chǎn)權(quán)都對(duì)自己的腳本進(jìn)行了一定的混淆或加密,因此,這類(lèi)按照混淆程度進(jìn)行惡意性判定的方法會(huì)帶來(lái)較多的誤報(bào).Seifert等人Kruegel等人在文獻(xiàn)[6]中提取腳本執(zhí)行時(shí)的動(dòng)態(tài)特征進(jìn)行機(jī)器學(xué)習(xí),其在一個(gè)瀏覽器模擬框架HTMLUni中訪(fǎng)問(wèn)待檢測(cè)URL并監(jiān)測(cè)腳本執(zhí)行,提取頁(yè)面跳轉(zhuǎn)、腳本混淆、字符串操作、插件函數(shù)執(zhí)行這4方面的10個(gè)動(dòng)態(tài)特征,并基于這10個(gè)動(dòng)態(tài)特征進(jìn)行機(jī)器學(xué)習(xí).實(shí)驗(yàn)結(jié)果表明,其漏報(bào)率為0.2%.與僅提取頁(yè)面靜態(tài)特征相比基于腳本動(dòng)態(tài)特征的機(jī)器學(xué)習(xí)極大地降低了漏報(bào)率.·基于漏洞模擬的檢測(cè)該類(lèi)方法的典型代表是PHoneyC作為低交互式客戶(hù)端蜜罐,PhoneyC比高交互式客戶(hù)端蜜罐更迅速、更容易加載(模擬)更多的漏洞模塊甚至同一漏洞模塊的不同版本.但是PhoneyC也具有其自身局限性:由于采用一個(gè)獨(dú)立的腳本引擎,腳本執(zhí)行過(guò)程中常常由于缺少頁(yè)面上下文環(huán)境或?yàn)g覽器提供給腳本的一些API而導(dǎo)致腳本執(zhí)行失敗、檢測(cè)被迫停止.此外PhoneyC只能模擬已知的漏洞插件,無(wú)法檢測(cè)利用零日漏洞的惡意腳本.在網(wǎng)頁(yè)掛馬檢測(cè)中,低交互式客戶(hù)端蜜罐中的基于反病毒引擎掃描、基于統(tǒng)計(jì)或機(jī)器學(xué)習(xí)、基于漏洞模擬等方法和高交互式客戶(hù)端蜜罐中的基于行為特征的檢測(cè)方法各有優(yōu)缺點(diǎn):低交互式客戶(hù)端蜜罐的實(shí)現(xiàn)和配置靈活、便于擴(kuò)展;高交互式客戶(hù)端蜜罐主要根據(jù)行為特征進(jìn)行檢測(cè),誤報(bào)率相對(duì)較低,但時(shí)間代價(jià)和系統(tǒng)代價(jià)比較大.為了滿(mǎn)足大規(guī)模的網(wǎng)頁(yè)掛馬檢測(cè)的高效、準(zhǔn)確這兩方面的要求,研究人員往往將多種檢測(cè)方法相結(jié)合Google的Provos等人2.2基于網(wǎng)頁(yè)木馬的反制與追蹤網(wǎng)頁(yè)木馬結(jié)構(gòu)復(fù)雜、對(duì)抗機(jī)制靈活多變,防御方有必要對(duì)捕獲到的網(wǎng)頁(yè)木馬樣本進(jìn)行特征分析:一方面可以把握網(wǎng)頁(yè)木馬的變化發(fā)展趨勢(shì),另一方面也可以了解網(wǎng)頁(yè)木馬最新的對(duì)抗機(jī)制.分析到的網(wǎng)頁(yè)木馬特征可被用來(lái)指導(dǎo)網(wǎng)頁(yè)木馬的檢測(cè)和防范.網(wǎng)頁(yè)木馬以頁(yè)面為載體部署在網(wǎng)站服務(wù)器中,內(nèi)容和結(jié)構(gòu)隨時(shí)間推移呈現(xiàn)高度變化在網(wǎng)頁(yè)木馬場(chǎng)景收集與重放的基礎(chǔ)上,研究人員主要采用人工的方法分析網(wǎng)頁(yè)木馬的漏洞利用過(guò)程,并用一些自動(dòng)化的分析方法進(jìn)行網(wǎng)頁(yè)木馬感染鏈的識(shí)別與構(gòu)建,以及網(wǎng)頁(yè)木馬家族的識(shí)別與分析.·網(wǎng)頁(yè)木馬感染鏈的識(shí)別與構(gòu)建Provos等人Wang等人·網(wǎng)頁(yè)木馬家族的識(shí)別與分析Provos等人在10個(gè)月內(nèi)大規(guī)模進(jìn)行網(wǎng)頁(yè)掛馬檢測(cè)Lee等人韓等人2.3種不同思路的網(wǎng)頁(yè)木馬防范方法與技術(shù)網(wǎng)頁(yè)木馬的部署、攻擊實(shí)施涉及多個(gè)環(huán)節(jié),防御方提出了各種不同思路的網(wǎng)頁(yè)木馬防范方法與技術(shù),本文根據(jù)網(wǎng)頁(yè)木馬防范位置的不同,將它們分為網(wǎng)站服務(wù)器端的網(wǎng)頁(yè)掛馬防范、基于代理的網(wǎng)頁(yè)木馬防范、客戶(hù)端的網(wǎng)頁(yè)木馬防范這3類(lèi).2.3.1器端系統(tǒng)漏洞為了保證攻擊腳本/攻擊頁(yè)面的客戶(hù)端加載量以及增強(qiáng)隱蔽性,攻擊者對(duì)互聯(lián)網(wǎng)上大量頁(yè)面進(jìn)行網(wǎng)頁(yè)掛馬因此,網(wǎng)站服務(wù)器端的掛馬防范就成為了網(wǎng)頁(yè)木馬防范中的第一個(gè)環(huán)節(jié).網(wǎng)頁(yè)掛馬有多種途徑利用網(wǎng)站服務(wù)器端系統(tǒng)漏洞來(lái)篡改網(wǎng)頁(yè)內(nèi)容,是常見(jiàn)的一種網(wǎng)頁(yè)掛馬途徑:攻擊者發(fā)現(xiàn)網(wǎng)站服務(wù)器上的系統(tǒng)漏洞,并且利用該漏洞獲得了相應(yīng)權(quán)限后,可以輕而易舉地篡改頁(yè)面.網(wǎng)站服務(wù)器端可以通過(guò)及時(shí)打系統(tǒng)補(bǔ)丁以及部署一些入侵檢測(cè)系統(tǒng)來(lái)增強(qiáng)自身的安全性.攻擊者還常利用應(yīng)用程序中的XSS(cross-site-script,跨站腳本攻擊者掛馬的途徑多種多樣,除了利用網(wǎng)站服務(wù)器本身的系統(tǒng)漏洞及應(yīng)用服務(wù)中的注入漏洞,攻擊者還可通過(guò)網(wǎng)頁(yè)中的廣告位及流量統(tǒng)計(jì)等第三方內(nèi)容進(jìn)行網(wǎng)頁(yè)掛馬.網(wǎng)站服務(wù)器端在網(wǎng)頁(yè)掛馬防范中,除了應(yīng)關(guān)注系統(tǒng)及應(yīng)用上的安全漏洞,也有必要對(duì)頁(yè)面中的第三方內(nèi)容進(jìn)行一定的安全審計(jì).2.3.2基于網(wǎng)頁(yè)木馬防范方法的研究基于代理的網(wǎng)頁(yè)木馬防范是在頁(yè)面被客戶(hù)端瀏覽器加載之前,在一個(gè)shadow環(huán)境(即代理)中對(duì)頁(yè)面進(jìn)行一定的檢測(cè)或處理.·“檢測(cè)-阻斷”式的網(wǎng)頁(yè)木馬防范方法“檢測(cè)-阻斷”式的網(wǎng)頁(yè)木馬防范方法基于第2.1.2中的方法在代理處進(jìn)行網(wǎng)頁(yè)木馬檢測(cè),若發(fā)現(xiàn)頁(yè)面存在網(wǎng)頁(yè)木馬,則阻斷客戶(hù)端對(duì)該頁(yè)面的加載.華盛頓大學(xué)的Alex等人基于之前的SpyCrawler基于機(jī)器學(xué)習(xí)的網(wǎng)頁(yè)木馬檢測(cè)及防范也是一種“檢測(cè)-阻斷”式的網(wǎng)頁(yè)木馬防范方法.Rieck等人·基于腳本重寫(xiě)的網(wǎng)頁(yè)木馬防范方法Charles等人提出的BrowserShield·基于瀏覽器不安全功能隔離的網(wǎng)頁(yè)木馬防范方法Chen等人在WebShield該種方法試圖由代理負(fù)責(zé)解析頁(yè)面和執(zhí)行腳本,但卻帶來(lái)了較大的時(shí)間代價(jià),不適于實(shí)際應(yīng)用.2.3.3基于http顯私技術(shù)的攻擊檢測(cè)方法研究人員提出了一些直接在客戶(hù)端進(jìn)行網(wǎng)頁(yè)木馬防范的方法,如URL黑名單過(guò)濾、瀏覽器安全加固、操作系統(tǒng)安全擴(kuò)展等.·URL黑名單過(guò)濾Google將基于頁(yè)面靜態(tài)特征進(jìn)行機(jī)器學(xué)習(xí)的檢測(cè)方法與基于行為特征的檢測(cè)方法相結(jié)合,對(duì)其索引庫(kù)中的頁(yè)面進(jìn)行檢測(cè)基于URL黑名單過(guò)濾的最大問(wèn)題在于時(shí)間上的不實(shí)時(shí)以及范圍上的不全面:文獻(xiàn)[43]顯示,被掛馬頁(yè)面的數(shù)目每月都會(huì)有一定的增加,雖然Google周期性地檢測(cè)頁(yè)面,但一個(gè)頁(yè)面很可能在被Google判定為良性之后被掛馬,用戶(hù)隨后瀏覽該頁(yè)面時(shí)就可能遭到攻擊.盡管Google爬取了大量頁(yè)面并對(duì)其進(jìn)行檢測(cè),但仍無(wú)法保證100%的覆蓋面·瀏覽器安全加固研究者主要通過(guò)在瀏覽器中增加HeapSpray/Shellcode檢測(cè)和已知漏洞利用特征檢測(cè)等功能來(lái)實(shí)現(xiàn)瀏覽器的安全加固.Egele等人微軟的Livshits等人Song等人·操作系統(tǒng)安全擴(kuò)展Lee等人3檢測(cè)和防范方法中網(wǎng)頁(yè)木馬的缺陷圍繞網(wǎng)頁(yè)木馬的攻防博弈一直在持續(xù),本文第2節(jié)所描述的防御方各種檢測(cè)和防范方法各自都有一些固有的缺陷.研究人員和瀏覽器廠(chǎng)商相繼提出了一些新的瀏覽器安全架構(gòu)和安全方案來(lái)對(duì)抗網(wǎng)頁(yè)木馬,但是網(wǎng)頁(yè)木馬依然作為一種現(xiàn)實(shí)的安全威脅存在,并有新的發(fā)展趨勢(shì).3.1域名安全的實(shí)現(xiàn)方案一些研究者認(rèn)為,網(wǎng)頁(yè)木馬能夠攻擊成功的一部分原因在于現(xiàn)有的瀏覽器架構(gòu)沒(méi)有一定的隔離機(jī)制,將同一頁(yè)面中不同源的內(nèi)容一起放入同一進(jìn)程或保護(hù)域.為此,他們提出了新