反击网页挂马 潜伏在图片中的害群之“马”

在网页挂马历史中，图片挂马是非常“古老”的。为什么古老的挂马技术到现在还在大量被使用?

为什么它能肆无忌惮?我们又该怎么防范它?身为一名安全工程师，这些你不能不知道……　　锐甲团队李海波：许多著名的论坛都出现过被黑客利用图片挂马的事件，图片挂马是一种典型的溢出攻击，这种攻击非常危险。黑客利用图片挂马的途径花样百出，最典型的途径就是广告方式，曾经就出现过黑客购买某门户网站的广告位置用来挂马的事件。由于某些网站为了方便广告客户更换广告，因此广告图片都不是保存在自己网站空间中的，而是直接指向了客户指定的地址，因此黑客在购买广告位置之后，将指向广告的图片修改为恶意溢出图片，导致了许多用户误认为是该门户网站被黑客挂马。

部分网站管理人员在做网站安全维护的时候，往往认为维护一次就可以了，不是忽略了反病毒系统的升级就是忘记了定期审查程序和系统，进行有计划的维护，因此导致许多网站屡屡被黑客溢出攻击。所以一个合格的安全工程师，应该做到面对复杂项目也能有事无巨细地进行审核排查的耐心，时刻关注各种安全公告的发布与更新。这是防堵网络挂马的终极策略。

图片挂马为什么备受青睐?

黑客们之所以热衷于用图片挂马的方式抓肉鸡，主要是图片挂马的隐蔽性相对较高，网管想在成千上万张图片中找到有害文件，既费时又费力。此外，通过嵌入的方式将看似没有问题的图片嵌入网页中，本身就很难发现。

更重要的是，图片永远是捕获肉鸡的最好诱饵。黑客往往只需要将木马挂到网站上之后，再取一个耸人听闻或者暗示性极强的名字，就会有源源不断的肉鸡找上门来。所以图片挂马就如同古代传说中会 * 的美人鱼一样，先用动听的歌声将在大海中航行的水手迷惑，让他们偏离航向，进而自投罗网落入美人鱼布好的陷阱中。

图片挂马的主要方式有两种，一种是直接利用JPG漏洞、GDI漏洞或者ANI漏洞等进行溢出挂马，将制作好的溢出文件，直接上传或者链接到入侵的网站中，等待没有打补丁的用户中招。

另外一种是将图片伪装后挂马。将包含JS代码或者IFRAME代码的网页木马加密后添加到HTML文件中。