還能再漲23%!AI寵兒NVIDIA成大摩明年首選AMD FSR 4.0將與RX 9070 XT顯卡同步登場(chǎng)羅永浩細(xì)紅線最新進(jìn)展,暫別AR,迎來(lái)AI Jarvis構(gòu)建堅(jiān)實(shí)數(shù)據(jù)地基,南京打造可信數(shù)據(jù)空間引領(lǐng)數(shù)字城市建設(shè)下單前先比價(jià)不花冤枉錢 同款圖書京東價(jià)低于抖音6折日媒感慨中國(guó)電動(dòng)汽車/智駕遙遙領(lǐng)先:本田、日產(chǎn)、三菱合并也沒(méi)戲消委會(huì)吹風(fēng)機(jī)品質(zhì)檢測(cè)結(jié)果揭曉 徠芬獨(dú)占鰲頭 共話新質(zhì)營(yíng)銷力,2024梅花數(shù)據(jù)峰會(huì)圓滿落幕索尼影像專業(yè)服務(wù) PRO Support 升級(jí),成為會(huì)員至少需注冊(cè) 2 臺(tái) α 全畫幅相機(jī)、3 支 G 大師鏡頭消息稱vivo加碼電池軍備競(jìng)賽:6500mAh 旗艦機(jī)+7500mAh中端機(jī)寶馬M8雙門轎跑車明年年初將停產(chǎn),后續(xù)無(wú)2026款車型比亞迪:2025 款漢家族車型城市領(lǐng)航智駕功能開啟內(nèi)測(cè)雷神預(yù)告2025年首次出席CES 將發(fā)布三款不同技術(shù)原理智能眼鏡realme真我全球首發(fā)聯(lián)發(fā)科天璣 8400 耐玩戰(zhàn)神共創(chuàng)計(jì)劃iQOO Z9 Turbo長(zhǎng)續(xù)航版手機(jī)被曝電池加大到6400mAh,搭驍龍 8s Gen 3處理器普及放緩 銷量大跌:曝保時(shí)捷將重新評(píng)估電動(dòng)汽車計(jì)劃來(lái)京東參與榮耀Magic7 RSR 保時(shí)捷設(shè)計(jì)預(yù)售 享365天只換不修國(guó)補(bǔ)期間電視迎來(lái)?yè)Q機(jī)潮,最暢銷MiniLED品牌花落誰(shuí)家?美團(tuán)旗下微信社群團(tuán)購(gòu)業(yè)務(wù)“團(tuán)買買”宣布年底停運(yùn)消息稱微軟正與第三方廠商洽談,試圖合作推出Xbox游戲掌機(jī)設(shè)備
  • 首頁(yè) > 企業(yè)IT頻道 > 人工智能

    空白網(wǎng)頁(yè)源碼裹挾帶毒鏈接,360安全大腦獨(dú)家揭秘“蜘蛛被騙記”

    2020年09月18日 10:50:40   來(lái)源:華夏晚報(bào)

          互聯(lián)網(wǎng)信息服務(wù)(Internet Information Services)是由微軟公司提供的基于運(yùn)行Microsoft Windows的互聯(lián)網(wǎng)基本服務(wù),大多數(shù)Windows系統(tǒng)服務(wù)器均有安裝,常用來(lái)運(yùn)行Web服務(wù)。而當(dāng)這一底層架構(gòu)被惡意黑客盯上,網(wǎng)絡(luò)威脅自然隨之而來(lái)。

    1600395737319698.jpg

      近日,360安全大腦獨(dú)家發(fā)現(xiàn)一新型惡意模塊,被黑客植入其攻陷的IIS WEB服務(wù)器,并利用該惡意模塊替換IIS服務(wù)中的一個(gè)服務(wù)組件,躲避檢測(cè)查殺。經(jīng)360安全大腦分析,本次攻擊事件最早開始于2020年8月,黑客攻陷數(shù)個(gè)知名云服務(wù)提供商的數(shù)十臺(tái)服務(wù)器,受影響網(wǎng)站數(shù)量高達(dá)幾千例,360安全大腦第一時(shí)間發(fā)出緊急安全預(yù)警。

      攻陷公用云主機(jī)服務(wù)器,“染毒蜘蛛”過(guò)境數(shù)千網(wǎng)站

      360安全大腦分析發(fā)現(xiàn),被攻擊服務(wù)器主要為公用云主機(jī)服務(wù)器,且通常黑客攻陷一個(gè)公用云主機(jī)服務(wù)器后,即可直接獲得幾十甚至上百個(gè)網(wǎng)站的控制權(quán),其中不乏企業(yè)官網(wǎng)。360安全大腦監(jiān)測(cè)數(shù)據(jù)顯示,此次遭攻擊服務(wù)器高達(dá)數(shù)十臺(tái),幾千個(gè)網(wǎng)站受波及。

    1600395748639877.jpg

    (部分受害企業(yè))

      鑒于上述情況,360安全大腦第一時(shí)間對(duì)樣本展開分析,隨后發(fā)現(xiàn)黑客在攻陷目標(biāo)服務(wù)器后,會(huì)從網(wǎng)上下載一個(gè)包含db.db、dd.cc、e.cc模塊、x64.dd、x86.dd五個(gè)文件的惡意壓縮包,各文件功能具體如下:

      db.db 是一個(gè)SQLite3數(shù)據(jù)庫(kù)文件。主要包含惡意模塊需要的網(wǎng)站模版及關(guān)鍵字等信息,此文件后續(xù)會(huì)被寫入IIS目錄下的inetsrv\modrqflt.dll:db.db文件中,這是一個(gè)擁有FILE_ATTRIBUTE_INTEGRITY_STREAM屬性的文件,在目錄下不可見。

      dd.cc是黑客開發(fā)的惡意模塊安裝工具。黑客使用該工具可改變modrqflt.dll的訪問(wèn)控制權(quán)限(DACL),從而成功將modrqflt.dll重命名為cache.dll,并將惡意程序改名為modrqflt.dll。

      e.cc模塊是用來(lái)停止被攻陷服務(wù)器日志記錄的功能。運(yùn)行之后,其會(huì)遍歷線程找到Eventlog服務(wù)的線程并停止,以此來(lái)停止日志記錄的功能。

      x64.dd為黑客編寫的64位惡意modrqflt.dll,主要用來(lái)替換C:\Windows\System32\inetsrv下iis服務(wù)器自帶的modrqflt.dll。

      x86.dd 則是黑客編寫的32位惡意modrqflt.dll,主要用來(lái)替換C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。

    圖片3.jpg

    (黑客攻陷目標(biāo)服務(wù)器后下載的惡意壓縮包)

      modrqflt.dll是提供請(qǐng)求過(guò)濾處理(Request filtering handler)的功能模塊,而成功替換后,黑客便可以過(guò)濾掉網(wǎng)站正常訪問(wèn)請(qǐng)求,專門為搜索引擎蜘蛛(爬蟲)提供色情素材。

    1600395766271783.jpg

      完成惡意模塊的替換后,當(dāng)搜索引擎蜘蛛(爬蟲)訪問(wèn)網(wǎng)站原本失效鏈接時(shí),此模塊即會(huì)生成一個(gè)包含大量鏈接的“空白”頁(yè)面,并將HTTP響應(yīng)碼由404改為200來(lái)欺騙“蜘蛛”(爬蟲)。而“蜘蛛”在獲取該頁(yè)面后,會(huì)繼續(xù)訪問(wèn)頁(yè)面中的所有鏈接,并抽取關(guān)鍵字存入搜索數(shù)據(jù)庫(kù)。此時(shí),如果有用戶搜索對(duì)應(yīng)關(guān)鍵詞,就會(huì)返回上述偽造鏈接及頁(yè)面,如果惡意DLL仍然存在,則會(huì)直接跳轉(zhuǎn)到色情網(wǎng)站。

      空白頁(yè)面神隱“透明”網(wǎng)址,騙過(guò)爬蟲蜘蛛猖狂搞顏色

      404頁(yè)面并不少見,通常是由于服務(wù)器地址變動(dòng),或者維護(hù)不到位等因素導(dǎo)致網(wǎng)站個(gè)別鏈接失效。正常情況下,當(dāng)搜索引擎蜘蛛爬取時(shí)遇到此類鏈接,也會(huì)顯示404頁(yè)面,但對(duì)于遭遇黑客攻陷的網(wǎng)站來(lái)說(shuō),其失效鏈接則會(huì)騙過(guò)“蜘蛛”,顯示空白頁(yè)面卻在源碼中暗藏大量鏈接。

    1600395780925655.jpg

      看到這里你或許會(huì)有疑問(wèn),中招的網(wǎng)站怎么區(qū)分正常的用戶和爬蟲呢?其實(shí)當(dāng)用戶使用瀏覽器打開一個(gè)網(wǎng)站,瀏覽器向網(wǎng)站服務(wù)器發(fā)出請(qǐng)求時(shí),會(huì)在請(qǐng)求數(shù)據(jù)頭部設(shè)置一個(gè)User-Agent的字段,例如訪問(wèn)百度時(shí):

    1600395791837741.jpg

      

      而當(dāng)搜索引擎爬取時(shí),User-Agent設(shè)置的則有一些不一樣:

      百度蜘蛛

      Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html)

      360蜘蛛:

      Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider

      神馬蜘蛛:

      Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36

      搜狗蜘蛛:

      Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)

    1600395801707225.jpg

      此次事件中,不法黑客下載的惡意模塊會(huì)通過(guò)判斷User-Agent區(qū)分用戶和蜘蛛(爬蟲),當(dāng)識(shí)別為搜索引擎蜘蛛后,就會(huì)返回上述100條鏈接,其中前80條hostname是惡意模塊生成的隨機(jī)頁(yè)面,與當(dāng)前網(wǎng)站的hostname一致;后20條hostname則是其他受害網(wǎng)站生成的隨機(jī)頁(yè)面,均為接口hxxp://zjclasjsdknlnxsa.com:8081/ping返回(此接口需要特殊User-Agent才能訪問(wèn))。

    1600395813386349.jpg

      與此同時(shí),100條隨機(jī)生成的頁(yè)面鏈接,看似雜亂無(wú)章其實(shí)暗藏一定規(guī)律的,它們的URL一般是由下圖中的規(guī)則構(gòu)成,即[]中的為可選。

    1600395824740886.jpg

      參照上圖的URL規(guī)則,觀察隨機(jī)鏈接中的path字段會(huì)發(fā)現(xiàn),它們?nèi)际且詌ista/xzs/api/bks開頭,且以上四個(gè)關(guān)鍵詞,分別對(duì)應(yīng)了四套惡意模塊使用網(wǎng)站模版。

    圖片10.jpg

    1600395840798294.jpg

      在生成網(wǎng)頁(yè)過(guò)程中,程序還會(huì)隨機(jī)讀取keyword等其他表中的數(shù)據(jù),以此來(lái)替換網(wǎng)站模版中的對(duì)應(yīng)留空位置。四套模版運(yùn)行如下圖所示:

    1600395855902409.jpg

      上述網(wǎng)頁(yè)顯示內(nèi)容,都是訪問(wèn)受害網(wǎng)址時(shí)數(shù)據(jù)庫(kù)關(guān)鍵字替換隨機(jī)生成的,搜索引擎蜘蛛(爬蟲)則會(huì)將上述偽造的URL和頁(yè)面緩存在數(shù)據(jù)庫(kù)中。當(dāng)用戶在搜索引擎中搜索色情關(guān)鍵詞,一旦命中上述偽造頁(yè)面內(nèi)容,那么搜索引擎就會(huì)返回上述偽造的URL和頁(yè)面摘要。

      此時(shí),如若用戶點(diǎn)擊頁(yè)面網(wǎng)址,瀏覽器則會(huì)默認(rèn)設(shè)置Referer字段,以此來(lái)標(biāo)明是從那個(gè)鏈接找到當(dāng)前的鏈接。惡意模塊正是利用這一點(diǎn),區(qū)分當(dāng)前訪問(wèn)頁(yè)面是否來(lái)自于百度/360/搜狗/神馬等國(guó)內(nèi)搜索引擎中的一種。

    圖片13.jpg

      特別是,如果接口hxxp://zjclasjsdknlnxsa.com:8081/jump有返回?cái)?shù)據(jù),則會(huì)設(shè)置頁(yè)面的內(nèi)容為接口返回的數(shù)據(jù):

    1600395878724041.jpg

      如若沒(méi)有獲取到接口數(shù)據(jù),則會(huì)訪問(wèn)db.db數(shù)據(jù)庫(kù),將jump中的代碼插入網(wǎng)頁(yè)中:

            <script               type="text/javascript" 

            src="hxxp://zjclasjsdknlnxsa.com/js/jump.js"></script>

      jump.js內(nèi)容如下:

    1600395890782684.jpg

     

           上述代碼的主要功能就是跳轉(zhuǎn)到最終的色情網(wǎng)站:

    圖片16.jpg

      而當(dāng)我們?cè)谀乘阉饕嫠阉魇芎W(wǎng)站關(guān)鍵詞時(shí),點(diǎn)擊搜索的鏈接,打開的就是色情網(wǎng)址hxxps://2**sg.xyz/,雖然原網(wǎng)址完全是一個(gè)正規(guī)網(wǎng)站。

    1600395906192339.jpg

    (搜索網(wǎng)址為色情網(wǎng)站)

    1600395917895608.jpg

    (受害網(wǎng)站原網(wǎng)址為正規(guī)網(wǎng)站)

      黑灰產(chǎn)業(yè)鏈持續(xù)發(fā)酵,360安全大腦強(qiáng)勢(shì)出擊

      經(jīng)360安全大腦研判分析,此次是黑灰產(chǎn)業(yè)鏈的持續(xù)性攻擊事件,黑客團(tuán)伙使用專業(yè)的滲透技術(shù)對(duì)各類網(wǎng)站進(jìn)行攻擊并植入木馬,非法獲取服務(wù)器控制權(quán),并在隨意管控攻陷的肉雞服務(wù)器的基礎(chǔ)上,利用搜索引流擴(kuò)散色情詐騙內(nèi)容,影響正規(guī)網(wǎng)站正常業(yè)務(wù)運(yùn)行。

      現(xiàn)階段,黑客團(tuán)伙攻擊仍在持續(xù),廣大用戶應(yīng)格外警惕,避免遭受不必要的損失。對(duì)此,360安全大腦給出如下安全建議:

      1、盡快前往weishi.#,下載安裝360安全衛(wèi)士,有效攔截各類病毒木馬攻擊,保護(hù)電腦隱私及財(cái)產(chǎn)安全;

      2、注重服務(wù)器安全管理,規(guī)范安全等級(jí)保護(hù)工作,及時(shí)更新漏洞補(bǔ);

      3、建立網(wǎng)站安全策略,防止攻擊發(fā)生時(shí)危害進(jìn)一步擴(kuò)大。

    1600395929960708.jpg

      文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。

    [No. S021]
    分享到微信

    即時(shí)

    新聞

    明火炊具市場(chǎng):三季度健康屬性貫穿全類目

    奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。

    企業(yè)IT

    重慶創(chuàng)新公積金應(yīng)用,“區(qū)塊鏈+政務(wù)服務(wù)”顯成效

    “以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。

    3C消費(fèi)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,高能實(shí)力,創(chuàng)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來(lái)實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。