浅析邮件木马技术

木马技术应该不用介绍，正所谓好事不出名坏事传千里，通过木马技术进行网络攻击的丑事但凡有些安全意识的互联网用户都应该知晓。不过利用邮件木马技术对企业用户进行攻击的潮流还是从近几年开始的。任何防御都应该建立在理解的基础上，所以本篇文章就谈一谈邮件木马技术的内容。

1、网页木马技术

早期的网页木马主要有两个文件，一个为html网页文件，另外一个为木马文件。如果浏览者的操作系统中存在漏洞，在访问网页文件时便会自动执行木马程序。由于杀毒软件的查杀，后期的网页木马开始利用框架网页，例如，将框架网页嵌入在正常网页中，由于框架网页的宽度和高度均为0，所以在网页中不会有视觉上的异常，不容易被察觉。后面陆续出现利用 JavaScript、JavaScript变形加密、css、Java、图片伪装等多种方式将框架网页代码进行转换变形等处理，使其更难被发现和被杀毒软件查杀。

入侵者一方面在个人网站、商业网站以及门户网站等上面放置网页木马，控制个人计算机、盗取个人账号、出售流量等来牟取商业利益;另外还将这些网页木马制作成网页文件，大量发送垃圾邮件，如果接收者一不小心打开了网页文件，计算机将会感染和传播木马病毒，安全风险极高。

2、文件捆绑技术

文件捆绑的核心原理就是将b.exe附加到a.exe的末尾，当a.exe被执行的时候，b.exe也跟着执行了。早期的文件捆绑技术比较简单，文件捆绑器比较容易被查杀，后面逐渐出现通过利用资源来进行文件捆绑，在PE文件中的资源可以是任意的数据，将木马程序放入资源中，执行正常程序后再释放木马程序。

在邮件木马中，捆绑木马攻击是最常见的一种攻击方式，比较直接，只要打开邮件中的捆绑的文件，则会执行木马程序。常见以下几种捆绑文件类型：

(1)应用程序安装文件。这类可执行文件往往伪装成一个setup图标的安装文件。

(2)Ebook电子图书文件。Ebook电子图书是一种可执行的文件，这类文件是将html等文件通过编译生成一个可执行文件。

(3)Flash文件。Flash文件有两种类型，一种是可执行的flash文件，直接运行就可以观看flash;另外一种是以.swf结尾的文件，需要单独的Flash播放软件播放。

文件捆绑的核心就是将一个正常的文件跟木马文件捆绑，捆绑时会修改文件图标，以假乱真，诱使用户打开这类文件，达到控制计算机或者传播病毒的目的。、

3、应用软件漏洞利用技术

利用应用软件漏洞而制作的木马程序，很难识别，危害最高。Office软件中的Word、PowerPoint、Excel，Adobe Reader，超星图书浏览器等都出现过高危安全漏洞，在日常办公中这些文件被广泛使用，利用应用软件的漏洞制作的木马，跟正常文件没有什么区别，当用户打开时，会执行木马程序和打开正常的文件。入侵者往往利用应用软件漏洞来制作木马，将这些看似正常的文件通过邮件发送给被攻击者，在这种邮件木马技术的基础上，被攻击者一旦打开邮件中的文件，感染木马病毒的几率非常高。

【编辑推荐】