什么都没点,只是打开网页就被感染了恶意软件

什么都没点,只是打开网页就被感染了恶意软件

恶意软件威胁

引言:”我没点任何东西”——但你的电脑还是中毒了

当有人把一台感染了恶意软件的电脑交给你时,最常听到的辩解就是:”我什么都没点。”

在过去,这可能是真的。但在今天,你确实可以在什么都不点的情况下被感染恶意软件。 这种攻击方式叫做”驱动下载”(Drive-by Download),它利用的是浏览器加载网页时的漏洞,而不是用户的点击行为。

更令人不安的是:即使你使用的是最新版本的Chrome或Edge,即使你从不下载可疑文件,即使你只访问”正常”的网站——驱动下载攻击仍然可能找到你。

驱动下载的工作原理

浏览器的攻击面

每次你打开一个网页,浏览器需要处理:

  • HTML结构
  • JavaScript脚本
  • CSS样式
  • 第三方广告脚本
  • 字体和媒体文件
  • 各种插件和扩展

每一个组件都可能成为攻击入口。 攻击者不需要你点击”下载”按钮——他们只需要在网页加载过程中找到一个漏洞。

现代浏览器的防护

现代浏览器已经非常安全:

  • 沙箱机制:每个标签页运行在独立的沙箱中
  • 自动更新:漏洞被发现后几天内就会修复
  • 插件淘汰:Flash、Java、Adobe Reader等高危插件已被淘汰
  • 安全检查:内置的Safe Browsing会警告危险网站

但驱动下载攻击并没有消失——它只是换了更隐蔽的方式。

三大攻击载体

载体一:被入侵的合法网站

恶意广告示例

攻击者入侵合法网站后,在页面中注入恶意JavaScript代码。当用户访问该网站时,恶意代码会自动执行。

2025年,安全研究人员发现约15万个网站被一个协调的JavaScript注入攻击入侵,这些网站向用户推送中国赌博网站,感染了数百万用户。

最危险的是:网站运营者可能完全不知道自己的网站正在传播恶意软件。

SocGholish 是一个典型的案例。这个恶意软件家族通过JavaScript注入合法网站,伪装成”浏览器更新”提示。根据CIS的2024年Q4报告,SocGholish占当季度所有恶意软件的”50%以上”。

载体二:恶意广告(Malvertising)

攻击者通过第三方广告网络购买广告位,在广告中嵌入恶意代码。即使是最安全的网站,也可能因为展示恶意广告而成为攻击载体。

根据AdMonsters的报告,美国每160个展示广告中就有1个是恶意的

RoughTed恶意广告活动使用动态URL来绕过广告拦截器,使得传统的内容安全策略难以有效防御。

载体三:漏洞利用工具包

当用户访问被感染的网页时,漏洞利用工具包会自动检测浏览器和插件的版本。如果发现未修复的漏洞,它会尝试推送恶意载荷——整个过程不需要用户点击任何东西

Recorded Future的2025年上半年报告显示,攻击者在2025年上半年”积极利用了161个已分配CVE的漏洞”,其中近70%不需要身份验证。

你能做什么?

个人防护措施

措施 效果 实施难度
保持浏览器和系统更新
使用脚本拦截器
警惕网页上的”更新”提示
使用DNS级拦截
不以管理员身份使用电脑

关键建议

1. 保持更新

漏洞从披露到被武器化的时间可能只有几天。确保你的浏览器和操作系统始终是最新版本。

2. 使用脚本拦截器

uBlock Origin等脚本拦截器可以阻止第三方广告脚本执行。但要注意:Google的Manifest V3变更可能会削弱脚本拦截器的能力。

3. 警惕”浏览器更新”提示

浏览器永远不会通过网页弹窗来更新自己。 如果你在浏览网页时看到”Chrome需要更新”的提示,这几乎100%是SocGholish或类似的恶意软件。

4. 使用DNS级拦截

NextDNS、Pi-hole等工具可以在网络层面过滤恶意域名,即使浏览器没有拦截,DNS拦截也能提供额外保护。

5. 不要以管理员身份日常使用

使用标准用户账户可以限制恶意软件的权限——即使它成功执行,也无法对系统造成严重破坏。

HTTPS不是万能的

很多人认为”只要网站有HTTPS就是安全的”。但事实上,一个完全启用HTTPS的网站仍然可以通过第三方广告网络投放恶意广告。 HTTPS只保证传输过程加密,不保证网页内容的安全。

AISOC视角:企业网页安全防护

对于企业来说,驱动下载攻击是终端安全的主要威胁之一:

  • 终端防护:部署行为分析工具,检测异常的浏览器行为
  • 网络防护:使用DNS过滤和Web代理拦截恶意域名
  • 浏览器管控:限制浏览器扩展安装,强制更新策略
  • 安全意识:培训员工识别虚假的”浏览器更新”提示

AISOC可以帮助企业建立多层次的网页安全防护体系。

总结

核心风险

驱动下载攻击证明了:在现代网络威胁环境中,”什么都没点”不再等于安全。被入侵的合法网站、恶意广告、漏洞利用工具包——这三种载体都可能在你毫不知情的情况下感染你的设备。

核心措施

  1. 立即更新浏览器和系统——关闭漏洞窗口
  2. 安装uBlock Origin——拦截恶意脚本和广告
  3. 警惕网页上的”更新”提示——浏览器不会这样更新
  4. 使用NextDNS或Pi-hole——在网络层面拦截恶意域名
  5. 使用标准用户账户——限制恶意软件的权限

安全不是一种状态,而是一个过程。 在驱动下载攻击面前,最好的防御是多层防护、持续更新、保持警惕。