网页木马能够在用户不知觉的情况下改变用户配置或者下载运行非法程序以实现某种不可告人的目的。当用户访问某个网站时,如果这个网站中有木马文件,则会在没有任何安全提示的情况下,自动下载远程CHM文件中的程序并运行,或者在后台运行网页上的恶意代码。网页木马虽然比较可怕,但是向非典一样,仍然是可防可控的。笔者下面列举了网页木马的常见防范措施,供各位读者参考。
防范措施一:更改系统的环境变量
木马本质上是一种程序,一段恶意代码。其需要运行的话,必须要借助于一定的平台。如VBS、JS平台等等。如果我们能够将这些平台禁用掉,那么即使用户访问的网页中有这些代码,其也不会对用户造成损害。因为其根本不能够在用户的电脑上运行。众所周知,在操作系统中有一个环节变量,在这里可以定义常见应用程序的路径。如果我们在这里将一些比较危险的应用程序的路径去掉,那么木马就会因为找不到可以运行的平台而无疾而终。
如上图所示,我们可以在操作系统的环境变量中,找到PATHEXT变量名,将这里面的一些经常容易被网页木马利用的变量值删除。如可以将VBS、JS等等内容删掉。这些变量是木马经常使用的。不过在更改这个环境变量的值的时候,需要注意最好能够事先对其进行必要的备份。特别是不能够确认哪些是操作系统或者其他应用程序运行必须的变量的时候,对这个变量值进行备份。这可以防止因为误操作而带来的损失。
防范措施二:要养成看网页源代码的习惯
一个网络安全人员,如何才能够提高网页木马的识别能力呢?俗话说,知己知彼,百战百胜。笔者认为,要提高管理员的木马识别能力,最好的途径就是要学会看网页的源代码。最高明的木马,也需要通过一定的代码来实现。只是有些木马的代码有一定的隐蔽性与欺骗性而已。为此安全人员需要多查看网页源代码。通常情况下,无论多高明的网页木马,都会在源代码中看出一点端倪。通过代码,可以了解木马的工作原理、变现形式、欺骗的手段以及未来的发展趋势等等。只要了解这些内容,在防护木马的时候,才能够对症下药。当然,要能够看懂这些木马,具有一定的难度。不过当能够看懂网页代码的时候,对于安全人员来说,可能是受益无穷。
当我们发现可疑网页,可以点击工具栏上的“查看”按钮,然后选择源文件,就可以看到这个网页的源代码。如上图所示。然后分析其可以的代码。一般来说,网页木马代码虽然有一定的隐蔽性与欺骗性,但是安全人员只要多花点心思,就可以找到相关的规律。其实跟木马制作者勾心斗角的斗争,也是很有趣的一件事情。当发现对方的恶意企图时,你或许会很有成就感。从此一发不可收拾。
防范措施三:禁用危险的端口与服务
在默认情况下,IE浏览器启用的端口数量会比较多,这主要是为了方便用户的使用。但是其也带来了很多的安全隐患。很多木马就喜欢使用这些途径来发起攻击。如像FTP、TFTP这些服务,对于普通用户来说,基本上用不着。而这些服务以及对应的端口就可能成为木马发动攻击的漏洞。为此在必要的情况下,需要禁用FTP等服务于端口,防止网页木马利用这些途径来发起攻击。当用户有需要使用的时候,管理员可以再替用户打开。虽然这会在一定程度上影响用户的工作效率,但是相比安全来说,这还是可以接受的。特别是在一些比较重要的场合,更需要这么做。如企业的财务部门,现在很多公司都直接使用网上银行来进行付款等操作。如此的话,就不用老是跑银行。对于这些比较敏感的主机,更加需要禁用不需要使用的服务与端口,让木马没有可乘之机。
防范措施四:更新补丁
人无完人。软件也是。微软等ie浏览器虽然功能比较完善,但是漏洞也比较多。根据以往的经验,IE浏览器功能越多,其漏洞也越多。从浏览器补丁越来越多、发布的频率越来越短,就可以知道。而大部分网页木马会利用IE等浏览器的漏洞来进行攻击。为此,要有效的防范木马,一个比较简单的方式就是及时的更新补丁。当有新补丁出来的时候,要根据其危险的级别,确定网络中各个客户端的升级计划。
不过在升级之前,笔者要提醒大家,要注意与现有应用程序的兼容性。如一些外贸企业,可能有电子口岸等应用系统。这些系统都是基于Web应用的。在升级浏览器补丁时,需要考虑这些应用程序对这些补丁的兼容性。为此在升级之前,必要的测试是少不了的。另外有可能还需要进行备份。当发现有不兼容的情况时,可能在短时间内还是需要先使用以前的IE浏览器。特别是像这种有政府背景的应用软件,其升级往往会慢一拍。所以更加需要注意其兼容性问题。
防范措施五:日常操作中要引起警觉
在实际工作中,木马的防护不仅仅是企业网络安全瓜管理人员的工作。而是安全人员与普通用户共同参与的一项大工程。企业普通员工在日常工作中,需要提高警惕性。特别是像使用网上银行或者其他类似的关键应用时,要有安全意识。如在使用网上银行时,要注意其网页地址的格式。一般来说,网上银行的格式都是以HTTPS开头的。这表示双方之间的通信已经被加密了等等。
一旦发现IE运行不正常,如速度比较慢或者自动关闭等等,需要及时的告知安全管理人员,而不能够事不关己、高高挂起。安全管理人员也需要对企业的关键用户加强培训,让他们养成很好的安全操作习惯。另外在有必要的情况下,需要对用户访问的网页进行监控。因为有时候在用户不知觉的情况下,网页木马会自动访问其他的网页,以下载木马程序等等。对用户的访问进行监控,有利于发现这种未经授权的访问。
防范措施六:要注意内部的安全
企业有些员工可能比较用功。工作做不完,都利用U盘等移动设备拷回到家里继续做。第二天再带回到公司。在这个过程中,木马可能已经悄无声息的进入到了企业的内部网络。一般来说,企业都会有防火墙等安全设备。为此要木马要从企业的外部进入到企业的内部网络,还是有一定困难的。但是员工的家里的电脑,往往没有很好的安全措施,有些甚至杀毒软件都没有安装,从此成为了木马的温床。然后其就可以借助员工的移动存储设备等等进入到企业内部的网络。此时由于没有了企业防火墙的保护,木马就可以肆无忌惮的在企业内部进行传播。为此在木马防护中,还需要注意企业内部的安全。如在必要的情况下,在企业中禁用移动存储设备。可是使用FTP服务器或者邮件服务器来代替移动存储设备。
总之,网页木马可能会给用户带来比较大的损失,但是其基本上是可防可控的。合理的采取预防措施,可以将网页木马消除与无形之中。