木马可以在用户不知情的情况下,改变用户的配置或下载运行非法程序,以达到某种不可告人的目的。用户访问网站时,如果网站中有木马文件,远程CHM文件中的程序会自动下载运行,没有任何安全提示,或者网页上的恶意代码在后台运行。木马虽然可怕,但和非典一样还是可防可控的。下面笔者列举了常见的网页木马防范措施,供大家参考。
措施一:改变系统的环境变量。
木马本质上是一个程序,一段恶意代码。如果它需要运行,就必须依靠一定的平台。如VBS、JS平台等。如果能禁用这些平台,即使用户访问的网页中有这些代码,也不会对用户造成伤害。因为它根本无法在用户的电脑上运行。众所周知,操作系统中有一个链接变量,在这里可以定义常用应用的路径。如果在这里去掉一些危险应用的路径,木马就会因为找不到平台运行而死掉。
如上图所示,我们可以在操作系统的环境变量中找到PATHEXT变量名,删除一些经常容易被网页木马利用的变量值。比如VBS,JS等等都可以删除。特洛伊木马经常使用这些变量。但是,在更改该环境变量的值时,需要注意的是,最好提前做好必要的备份。尤其是在无法确认哪些变量是操作系统或其他应用程序运行所必需的时候,备份变量值。这样可以防止误操作造成的损失。
措施二:养成阅读网页源代码的习惯。
一个网络安全人员如何提高对网页木马的识别能力?俗话说,知己知彼,百战不殆。笔者认为,提高管理员木马识别能力最好的方法就是学会阅读网页源代码。最高的木马也是需要通过一定的代码来实现的。只是有些木马的代码有一定的隐蔽性和欺骗性。为此,安全人员需要检查网页的源代码。通常情况下,无论网页木马有多聪明,你都会在源代码中看出端倪。通过代码可以了解木马的工作原理、实现形式、欺骗手段以及未来的发展趋势。只要知道这些内容,就可以在保护木马的时候对症下药。当然,这些木马很难理解。但是,当你能看懂web代码的时候,可能对安全人员大有裨益。
当我们发现一个可疑的网页时,可以点击工具栏上的“查看”按钮,然后选择源文件,就可以看到这个网页的源代码了。如上图。然后分析其可用代码。一般来说,网页木马代码虽然具有一定的隐蔽性和欺骗性,但安全人员只要多加注意,还是可以发现相关规律的。其实和木马制作者的斗争也是一件很有意思的事情。发现对方的恶意,你可能会有很大的成就感。从此一发不可收拾。
措施3:禁用危险的端口和服务。
IE浏览器默认开启的端口数量会比较大,主要是为了方便用户。但也带来了很多安全隐患。很多木马喜欢用这些方式发动攻击。FTP、TFTP等服务对于普通用户来说基本没有必要。这些服务和相应的端口都可能成为木马发起攻击的漏洞。为此,如有必要,需要禁用FTP等服务的端口,以防止网页木马利用这些方式发起攻击。当用户需要使用时,管理员可以为用户再次打开。虽然这样会在一定程度上影响用户的工作效率,但相比安全性还是可以接受的。尤其是在一些重要场合,更有必要这样做。比如企业的财务部门,现在很多公司直接用网银进行支付等操作。这样的话,就不用一直往银行跑了。对于这些敏感主机,更需要禁用不必要的服务和端口,让木马没有可乘之机。
措施4:更新补丁。
没有人是完美的。软件也是。微软ie浏览器虽然功能完善,但是漏洞很多。根据以往经验,IE浏览器功能越多,漏洞越多。从浏览器补丁数量的增加和发布频率的降低可以看出这一点。大多数网页木马会利用IE和其他浏览器的漏洞进行攻击。所以要有效防范木马,一个比较简单的办法就是及时更新补丁。当一个新的补丁出来时,需要根据其危险等级来确定网络中每个客户端的升级方案。
不过在升级之前,我想提醒大家注意与现有应用的兼容性。比如一些外贸企业可能会有电子口岸等应用系统。这些系统基于Web应用程序。升级浏览器补丁时,需要考虑这些应用与这些补丁的兼容性。为此进行升级之前,必要的测试是必不可少的。此外,可能有必要进行备份。当发现不兼容时,可能需要在短时间内首先使用以前的IE浏览器。尤其是像这种有政府背景的应用,升级往往很慢。所以更要注意它的兼容性。
防范5:日常操作中保持警惕。
在实践中,木马的防护不仅仅是企业网络安全管理者的工作。它是一个涉及安全人员和普通用户的大项目。普通员工在日常工作中需要保持警惕。特别是在使用网银或其他类似的关键应用时,要注意安全。如果你使用网上银行,你应该注意它的网址的格式。一般来说,网上银行的模式是从HTTPS开始的。这意味着双方的通信被加密了等等。
一旦发现IE运行异常,比如速度变慢或者自动关机,就要及时通知安全管理人员,而不是高高挂起。安全管理者也需要加强对企业重点用户的培训,让他们养成良好的安全操作习惯。此外,如果有必要,还需要对用户访问的网页进行监控。因为有时候在用户不知情的情况下,网页木马会自动访问其他网页下载木马程序等等。监控用户的访问有助于发现这种未经授权的访问。
防范6:注意内部安全。
有些员工可能会更加努力。如果做不完,就用u盘等移动设备复制回家里继续做。第二天带回公司。在这个过程中,木马可能已经悄悄进入了企业内部网络。一般来说,企业都会有防火墙等安全设备。正因如此,木马仍然很难从外部进入企业内部网络。而员工家里的电脑往往没有很好的安全措施,有的甚至没有安装杀毒软件,成为了木马的温床。然后,它可以借助员工的移动存储设备访问企业的内部网络。这个时候,没有企业防火墙的保护,木马就可以在企业中肆无忌惮的传播。所以在木马防护上,也要注意企业内部的安全。如有必要,禁用企业中的移动存储设备。可以用FTP服务器或者邮件服务器代替移动存储设备。
总之,网页木马可能会给用户带来很大的损失,但基本上是可防可控的。合理的防范措施可以消灭网页木马,使其无所遁形。
