安全自评
体检项目
体验报告
体验流程
如何购买
 
   
 
   
您目前所在的位置:网站首页>体检中心>体检项目
 
 
 
 
 
  网页挂马检测
 
1、什么是网页挂马
2、网页挂马的危害
3、常见的挂马类型有哪些
4、安星网页挂马检查原理
5、安星的交付件—挂马检查报告
6、安星的客户价值是什么
7、为何选择安星

1、什么是网页挂马
    很多朋友都碰到过这样的现象:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到木马病毒。有经验的朋友会知道这是网页病毒,但是自己打开的明明是正规网站,没有哪家正规网站会将病毒放在自己的网页上吧?那么是什么导致了这种现象的发生呢?其中最有可能的一个原因就是:这个网站被挂马了。
网页木马:是指黑客攻击WEB网站后,在网页中嵌入的一段用于自动下载带有特定目的木马程序的恶意代码或脚本。请注意,挂上去的是一段代码或脚本,而非真正的“一匹”马。而黑客实施恶意代码或脚本植入的行为通常称为“挂马”。



2 、网页挂马的危害
    对于网站本身来说,网页挂马的危害有三:
    一, 降低网站的公众信誉度,影响政府、企业、事业单位的公众形象。网站都是希望更多的用户登陆使用,但被挂马后,直接影响的就是用户对其信任度,从而导致网站背后的企业、政府、单位信誉度的下降;
    二, 受监管部门查处。08年4月,西安有15家网站被西安网监查封,下令整改,就是因为这15家网站网页上被挂马,导致访问者的终端被植入木马程序,造成盗号等事件。
    三, 使得网站成为传马传播者的“傀儡帮凶”。
    对于网站浏览者来说网页挂马的危害有:
    一, 经济损失。木马可能造成用户的各类帐号密码被盗取,如电子银行帐户和密码、游戏帐号和密码、邮箱帐户和密码、QQ/MSN 帐号和密码等。游戏中的装备、早期的QQ号码等都是可以在现实中真金白银交易的。
    二, 被人监视。有些木马可以监视用户在终端上的一切操作,基本上没有隐私可言了。
    三, 成为僵尸主机,可被利用来攻击其它对象。



3 、常见的挂马类型有哪些
    框架挂马、js文件挂马、js变形加密、body挂马、隐蔽挂马、css中挂马、JAVA挂马、图片伪装、伪装调用、高级欺骗等。



4 、安星网页挂马检查原理
    安星的网页挂马检查分为两个阶段:
    1、自动化分析阶段:该系统运行在高性能的专用服务器上,针对某网站做网页挂马检查时先利用搜索引擎中的专业爬虫技术将目标网站的域名下的所有URL链接抓取下来(注,只抓取链接的URL地址;而且仅限根域名下的所有链接,举例说明:假设新浪首页中有CCTV官网的链接,如果检查的根域名是新浪,则爬虫是不会将其中的CCTV及其下链接记录下来,因为其不属于新浪的根域名)。抓取链接后,爬虫将这些链接交给后台专门的挂马分析系统。该系统运行在一个以模拟浏览器为核心的沙箱环境下,URL链接在打开过程中将会有一部分链接出现异常行为。异常行为是指:打开网页时有创建进程行为、有自动下载行为、有跳转页面行为(包含跳转后下载等)、调用系统文件、等等,这些行为特征和现在流行的网页挂马有很大的关联性。系统按照不同的方式区分这些异常行为并将其存在的页面记录下来,形成结果输出。根据自动化分析系统得到的初筛结果,对可能挂马的异常页面进行了有效定位和筛选。

                   
    2、人工审核阶段:由于并非所有异常行为都代表存在挂马,比如,浏览视频类页面,有时就会调用微软的一些DLL文件,这些行为和挂马有些类似但不属于网站的安全威胁,必须要进行过滤。第一阶段的检测属于初筛,而且初筛肯定是有误报的,所以还需要更重要的人工审核阶段。启明星辰的M2S、ADLAB中专业的WEB安全专家将对结果进行进一步审核,将误报剔出。审核包括对跳转的页面是什么页面、自动下载行为下载的是什么文件等等,通过人工审核和确认,可以保证网页挂马检测的准确率达到100%,最终将真正的挂马页面暴露出来。
    总结起来,第一个阶段是可以把可能能存在问题的页面暴露出来,是通过自动化系统完成的。第二阶段完成网页挂马的准确分析和定位,靠人工完成。对于整个服务而言,为了保证其准确性品质,工作量大的是在后面的人工审核。



5 、安星的交付件—挂马检查报告
    安星是一种远程检查服务,不是软件、也不是硬件设备。那么安星对客户的交付件是什么呢?就是一个定期的检查报告。周期与客户购买的检查周期相同。比如客户买的是一周检查一次网页挂马,则安星为客户每周提供一次检查报告。
    报告内容包括:检查的域名、检查的时间、检查的页面数量、检查的结果(是否存在挂马)。如果存在挂马,有多少页面存在挂马,具体存在在哪些页面。最后是修补的建议。



6 、安星的客户价值是什么
安星的三大客户价值:
    一, 变单纯被动防御为主动检测+被动防御
传统的网站安全,多数是部署了IPS、防火墙等设备,很多网管人员认为这样就够了,但这仅仅是被动防御,就好像守城的军队只是一味的加高、加宽城墙,却不了解什么地方有可能存在问题,敌人最有可能从哪里进攻,甚至是否已经被入侵了。

     


    有了安星,则增加了一种住的那个检测的手段,使得防御更具备针对性,能及时的将短木板补上,甚至能将已经被入侵的地方暴露出来。
二, 降低运营成本
    没有安星,客户要想对自己Web服务做安全检查则有两种手段:请专业的安全服务团队检查、购买Web扫描产品自己检查。前者的成本是非常高的,因为需要专业的安全团队到用户现场做检查,而且通常为期很长,对用户的正常web业务是有影响的。后者则是需要承担昂贵的Web扫描工具产品,且还要长期聘用专业的安全维护人员来使用该产品,这些都是成本。 


    而有了安星,则以上两种方式都可以不需要,因为启明星辰的安星是基于近10年的检查经验基础上发展起来的安全服务,并且有专业的服务团队在做支撑,相当于客户每天都请专业服务团队在为自己的web安全做检查。
三, 远程服务,业务隔离
    安星是远程服务,因此也就无需在用户侧安装设备、无需更改用户网络、无需做网络割接,自然也就没有性能瓶颈。



7、为何选择安星

   选择安星的几大理由:
1. 安星是在启明星辰近10年的检测经验积累基础上发展起来的安全服务,现在已经有超过2000个检测类的客户。
2. 安星是启明星辰国内首家推出的远程安全检查服务,并能同时关注网页挂马和Web漏洞。
3. 安星可以配合启明星辰其它的安全产品和服务,比如IPS、M2S的服务为网络用户提供一揽子安全解决方案。
4. 安星基于强大的安全服务团队,包括启明星辰的M2S、ADLAB、VCERT,这些都是业界最专业的安全服务团队,承担着大量的国家重要安全项目。



     
联系我们 | 网站地图 | 服务热线:800-810-6038 © 启明星辰 2008 版权所有 京IPC备05032414号