表单抓取类恶意软件，一种在线安全的无声威胁

译者 | 陈峻

审校 | 孙淑娟

表单抓取（Form-Grabbing）类恶意软件每天都在悄无声息地感染着数千台计算机。表单而就在您的类恶不经意之间，这种恶意软件窃取到了您的意软敏感数据，进而向其他的线安恶意黑客授予对您的计算机的访问权限 ，以便他们能进一步向您发送垃圾邮件，无声威胁或窃取您更多的表单信息 。

什么是类恶表单抓取类恶意软件?

此类表单抓取类恶意软件往往是专门针对从浏览器的页面上捕获Web表单数据（如：用户名、密码和其他个人信息）而设计的免费模板意软 。

尽管键盘记录器（keylogger）至今仍会被用来窃取管理员的线安数据 ，但是无声威胁表单抓取可谓获取浏览器凭据的最常见方式之一。它们主要被用于用户通过互联网 ，表单与银行网站的类恶安全服务器交互之前，从表格中识别并窃取重要数据信息 。意软

与键盘记录器不同，线安即使用户的无声威胁数据和凭据只是通过粘贴
，自动填充 ，以及使用虚拟键盘输入的建站模板，也会被表单抓取器所获取到。这些被收集到的信息随后会被存储，进而传输到特定的服务器上。

表单抓取的发展史

虽然此项技术诞生于2003年，但是直到2007年的Zeus出现之后，表单抓取才被认为是一种主要的恶意软件攻击。该恶意软件往往会被嵌入到发送给多个收件人的电子邮件中。服务器租用此类邮件的目标就是要让人们错误地认为
，它们来自信誉良好的银行或公司。从2011年被公布于世的Zeus源代码来看 ，它能够允许创建不同版本的木马。

尽管初代Zeus的代码已经被淘汰，但是由其产生的 、非常恶劣的表单抓取类恶意软件，香港云服务器至今仍在互联网上肆虐。其中最为著名的当属SpyEye 。SpyEye使用的便是其前身Zeus的相关代码，并以网络浏览器为目标 ，通过记录击键 ，在用户登录银行门户时 ，窃取其凭据和授权
。

SpyEye非常难以被察觉和追踪到 。它主要通过来自不安全的网站链接、以及垃圾邮件的方式，亿华云潜入您的计算机，进而主动发起交易，窃取资金 ，并将其发回给其创建者 。

表单抓取类恶意软件的工作原理

如前所述 ，一种成功的抓取表单软件的关键是，在浏览器和网络栈之间插入恶意软件，以便在数据被加密之前，就拦截内容
。

首先，它需要在浏览器中安装浏览器帮助对象（Browser Helper Object，高防服务器BHO） 。这允许恶意软件寻找对于HttpSendRequest函数的调用
。而HttpSendRequest函数主要负责建立到互联网的连接，并将HTTP请求发送到指定的站点处。

恶意软件通常会在每次启动时将​​动态链接库文件​​​ (Dynamic Link Library files ，DLL​​) ​​输入到浏览器中。同时，此类恶意软件还会更改HTTP函数，通过重新配置它们
，以允许在入栈之前
，将请求发送到含有木马的代码所有者那里 。

如何免受表单抓取类恶意软件的侵害

对付表单抓取器的最有效方法之一
 ，便是安装带有病毒签名的防护软件 。此外，限制用户的权限
，以防止下载BHO，则是防止木马程序入侵系统的另一种策略。

安装病毒防护软件

防病毒软件可以通过扫描来自互联网的流量，并根据已知的威胁，标记出那些可疑的交互 ，进而尽快地阻止恶意软件的自我植入，以及木马程序的弹窗。同时，若要使得防病毒软件能够有效地抵御表单抓取之类的恶意程序 ，则需要通过持续更新的方式，来防范最新形式的恶意软件 。

当然，有些程序可能会直接强制您使用手动的检查方式。不过，由于人工判断能力的不同，有时候这种做法会让那些处于远程设备上的恶意软件被轻易地忽略掉，而不被发现。而更糟糕的是，在大多数时候 ，即使防病毒软件检测到了木马恶意软件，也只是会将它们置于隔离区中 ，等待用户主动去查看
，以及按需删除。可见，在此类应用场景中，我们更需要的是病毒防护软件能够对所有系统执行自动扫描，立即对检测到的恶意软件予以删除。这才是应对表单抓取器最有效的方法
。

避免未经加密的连接

您应该避免在未加密的网站上填写表格。仅仅使用HTTP的网站，如今已被Google Chrome等流行的浏览器标记为不安全的方式 。用户在访问时
，会收到有关该网站不安全的警告。

通常，使用HTTPS协议的网站更为安全 。一个带挂锁的符号通常会出现在URL地址栏中
，以表明该网站正在使用HTTPS协议，且为安全的 。由于它使用复杂的加密来保护网站和浏览器之间数据的交换，因此HTTPS不允许任何形式的抓取或键盘记录 。

其实  ，HTTPS与HTTP属相同的协议。唯一的区别在于，前者建立在安全传输层（Transport Layer Security，TLS）之上。它除了加密Web应用与其服务器之间的连接之外 ，还可以保护电子邮件和消息的传递  。

更重要的是 ，使用HTTP的网站只能将其数据以纯文本形式传输，使得恶意攻击者能够很容易地读取到它们。相反 ，即使您的计算机中存在着恶意软件 ，若您访问的网站是运行在HTTPS协议之上的网站，那么恶意软件收到了数据后 ，也无法读取或解码已加密的信息。

使用URL黑名单

在您访问某个网站之前，为了安全起见，请确保它没有被列入黑名单。为此，您可以使用​​Google透明度报告​​（Google Transparency Report）
。如下图所示，请在页面的搜索栏中输入待访问网站的URL，如果列出了该网站的相关诊断信息，则可以确认它会通过插件和下载的方式传播恶意软件 。通过避免访问被列入黑名单的网站 ，我们可以有效地减少恶意软件进入计算机的机会。

设置网络防火墙

此外
，有许多不安全的页面还会带有有害的重定向 ，因此它们也会被列入黑名单
。为此，您也可以将这些已列入黑名单的网站，添加到防火墙中 ，以确保自己在浏览互联网时，不会意外地连接到它们
。毕竟，Web防火墙在阻止这些重定向的同时
，起到了保护敏感数据免受表单抓取器侵害的作用 
。

小结

目前 ，虽然表单抓取类恶意软件十分常见，但是我们可以采取一些积极的防护措施 
 ，以确保仅从受信任的来源下载扩展和插件
，进而防止数据被盗 。同时 ，您也可以通过创建有害网站和服务器的列表 ，并将它们添加到防火墙的黑名单中 ，来保护您的计算机。

当然 ，防病毒程序也是不错的选择 ，最好它们能够自动扫描恶意软件
，并立即将其删除 。就个人习惯而言，您应该尽量避免访问非HTTPS协议的站点。因为表单抓取木马就会在那里等着您的光顾。 

译者介绍

陈峻 （Julian Chen），51CTO社区编辑 ，具有十多年的IT项目实施经验 ，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。

原文标题 ：​​Form-Grabbing Malware: A Silent Threat to Your Online Security​​ ，作者 ：OLUWADEMILADE AFOLABI