互聯(lián)網(wǎng)信息服務(wù)(Internet Information Services)是由微軟公司提供的基于運(yùn)行Microsoft Windows的互聯(lián)網(wǎng)基本服務(wù),大多數(shù)Windows系統(tǒng)服務(wù)器均有安裝,常用來(lái)運(yùn)行Web服務(wù)。而當(dāng)這一底層架構(gòu)被惡意黑客盯上,網(wǎng)絡(luò)威脅自然隨之而來(lái)。
近日,360安全大腦獨(dú)家發(fā)現(xiàn)一新型惡意模塊,被黑客植入其攻陷的IIS WEB服務(wù)器,并利用該惡意模塊替換IIS服務(wù)中的一個(gè)服務(wù)組件,躲避檢測(cè)查殺。經(jīng)360安全大腦分析,本次攻擊事件最早開始于2020年8月,黑客攻陷數(shù)個(gè)知名云服務(wù)提供商的數(shù)十臺(tái)服務(wù)器,受影響網(wǎng)站數(shù)量高達(dá)幾千例,360安全大腦第一時(shí)間發(fā)出緊急安全預(yù)警。
攻陷公用云主機(jī)服務(wù)器,“染毒蜘蛛”過(guò)境數(shù)千網(wǎng)站
360安全大腦分析發(fā)現(xiàn),被攻擊服務(wù)器主要為公用云主機(jī)服務(wù)器,且通常黑客攻陷一個(gè)公用云主機(jī)服務(wù)器后,即可直接獲得幾十甚至上百個(gè)網(wǎng)站的控制權(quán),其中不乏企業(yè)官網(wǎng)。360安全大腦監(jiān)測(cè)數(shù)據(jù)顯示,此次遭攻擊服務(wù)器高達(dá)數(shù)十臺(tái),幾千個(gè)網(wǎng)站受波及。
(部分受害企業(yè))
鑒于上述情況,360安全大腦第一時(shí)間對(duì)樣本展開分析,隨后發(fā)現(xiàn)黑客在攻陷目標(biāo)服務(wù)器后,會(huì)從網(wǎng)上下載一個(gè)包含db.db、dd.cc、e.cc模塊、x64.dd、x86.dd五個(gè)文件的惡意壓縮包,各文件功能具體如下:
db.db 是一個(gè)SQLite3數(shù)據(jù)庫(kù)文件。主要包含惡意模塊需要的網(wǎng)站模版及關(guān)鍵字等信息,此文件后續(xù)會(huì)被寫入IIS目錄下的inetsrv\modrqflt.dll:db.db文件中,這是一個(gè)擁有FILE_ATTRIBUTE_INTEGRITY_STREAM屬性的文件,在目錄下不可見。
dd.cc是黑客開發(fā)的惡意模塊安裝工具。黑客使用該工具可改變modrqflt.dll的訪問(wèn)控制權(quán)限(DACL),從而成功將modrqflt.dll重命名為cache.dll,并將惡意程序改名為modrqflt.dll。
e.cc模塊是用來(lái)停止被攻陷服務(wù)器日志記錄的功能。運(yùn)行之后,其會(huì)遍歷線程找到Eventlog服務(wù)的線程并停止,以此來(lái)停止日志記錄的功能。
x64.dd為黑客編寫的64位惡意modrqflt.dll,主要用來(lái)替換C:\Windows\System32\inetsrv下iis服務(wù)器自帶的modrqflt.dll。
x86.dd 則是黑客編寫的32位惡意modrqflt.dll,主要用來(lái)替換C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。
(黑客攻陷目標(biāo)服務(wù)器后下載的惡意壓縮包)
modrqflt.dll是提供請(qǐng)求過(guò)濾處理(Request filtering handler)的功能模塊,而成功替換后,黑客便可以過(guò)濾掉網(wǎng)站正常訪問(wèn)請(qǐng)求,專門為搜索引擎蜘蛛(爬蟲)提供色情素材。
完成惡意模塊的替換后,當(dāng)搜索引擎蜘蛛(爬蟲)訪問(wèn)網(wǎng)站原本失效鏈接時(shí),此模塊即會(huì)生成一個(gè)包含大量鏈接的“空白”頁(yè)面,并將HTTP響應(yīng)碼由404改為200來(lái)欺騙“蜘蛛”(爬蟲)。而“蜘蛛”在獲取該頁(yè)面后,會(huì)繼續(xù)訪問(wèn)頁(yè)面中的所有鏈接,并抽取關(guān)鍵字存入搜索數(shù)據(jù)庫(kù)。此時(shí),如果有用戶搜索對(duì)應(yīng)關(guān)鍵詞,就會(huì)返回上述偽造鏈接及頁(yè)面,如果惡意DLL仍然存在,則會(huì)直接跳轉(zhuǎn)到色情網(wǎng)站。
空白頁(yè)面神隱“透明”網(wǎng)址,騙過(guò)爬蟲蜘蛛猖狂搞顏色
404頁(yè)面并不少見,通常是由于服務(wù)器地址變動(dòng),或者維護(hù)不到位等因素導(dǎo)致網(wǎng)站個(gè)別鏈接失效。正常情況下,當(dāng)搜索引擎蜘蛛爬取時(shí)遇到此類鏈接,也會(huì)顯示404頁(yè)面,但對(duì)于遭遇黑客攻陷的網(wǎng)站來(lái)說(shuō),其失效鏈接則會(huì)騙過(guò)“蜘蛛”,顯示空白頁(yè)面卻在源碼中暗藏大量鏈接。
看到這里你或許會(huì)有疑問(wèn),中招的網(wǎng)站怎么區(qū)分正常的用戶和爬蟲呢?其實(shí)當(dāng)用戶使用瀏覽器打開一個(gè)網(wǎng)站,瀏覽器向網(wǎng)站服務(wù)器發(fā)出請(qǐng)求時(shí),會(huì)在請(qǐng)求數(shù)據(jù)頭部設(shè)置一個(gè)User-Agent的字段,例如訪問(wèn)百度時(shí):
而當(dāng)搜索引擎爬取時(shí),User-Agent設(shè)置的則有一些不一樣:
百度蜘蛛
Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html)
360蜘蛛:
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider
神馬蜘蛛:
Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36
搜狗蜘蛛:
Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)
此次事件中,不法黑客下載的惡意模塊會(huì)通過(guò)判斷User-Agent區(qū)分用戶和蜘蛛(爬蟲),當(dāng)識(shí)別為搜索引擎蜘蛛后,就會(huì)返回上述100條鏈接,其中前80條hostname是惡意模塊生成的隨機(jī)頁(yè)面,與當(dāng)前網(wǎng)站的hostname一致;后20條hostname則是其他受害網(wǎng)站生成的隨機(jī)頁(yè)面,均為接口hxxp://zjclasjsdknlnxsa.com:8081/ping返回(此接口需要特殊User-Agent才能訪問(wèn))。
與此同時(shí),100條隨機(jī)生成的頁(yè)面鏈接,看似雜亂無(wú)章其實(shí)暗藏一定規(guī)律的,它們的URL一般是由下圖中的規(guī)則構(gòu)成,即[]中的為可選。
參照上圖的URL規(guī)則,觀察隨機(jī)鏈接中的path字段會(huì)發(fā)現(xiàn),它們?nèi)际且詌ista/xzs/api/bks開頭,且以上四個(gè)關(guān)鍵詞,分別對(duì)應(yīng)了四套惡意模塊使用網(wǎng)站模版。
在生成網(wǎng)頁(yè)過(guò)程中,程序還會(huì)隨機(jī)讀取keyword等其他表中的數(shù)據(jù),以此來(lái)替換網(wǎng)站模版中的對(duì)應(yīng)留空位置。四套模版運(yùn)行如下圖所示:
上述網(wǎng)頁(yè)顯示內(nèi)容,都是訪問(wèn)受害網(wǎng)址時(shí)數(shù)據(jù)庫(kù)關(guān)鍵字替換隨機(jī)生成的,搜索引擎蜘蛛(爬蟲)則會(huì)將上述偽造的URL和頁(yè)面緩存在數(shù)據(jù)庫(kù)中。當(dāng)用戶在搜索引擎中搜索色情關(guān)鍵詞,一旦命中上述偽造頁(yè)面內(nèi)容,那么搜索引擎就會(huì)返回上述偽造的URL和頁(yè)面摘要。
此時(shí),如若用戶點(diǎn)擊頁(yè)面網(wǎng)址,瀏覽器則會(huì)默認(rèn)設(shè)置Referer字段,以此來(lái)標(biāo)明是從那個(gè)鏈接找到當(dāng)前的鏈接。惡意模塊正是利用這一點(diǎn),區(qū)分當(dāng)前訪問(wèn)頁(yè)面是否來(lái)自于百度/360/搜狗/神馬等國(guó)內(nèi)搜索引擎中的一種。
特別是,如果接口hxxp://zjclasjsdknlnxsa.com:8081/jump有返回?cái)?shù)據(jù),則會(huì)設(shè)置頁(yè)面的內(nèi)容為接口返回的數(shù)據(jù):
如若沒(méi)有獲取到接口數(shù)據(jù),則會(huì)訪問(wèn)db.db數(shù)據(jù)庫(kù),將jump中的代碼插入網(wǎng)頁(yè)中:
<script type="text/javascript"
src="hxxp://zjclasjsdknlnxsa.com/js/jump.js"></script>
jump.js內(nèi)容如下:
上述代碼的主要功能就是跳轉(zhuǎn)到最終的色情網(wǎng)站:
而當(dāng)我們?cè)谀乘阉饕嫠阉魇芎W(wǎng)站關(guān)鍵詞時(shí),點(diǎn)擊搜索的鏈接,打開的就是色情網(wǎng)址hxxps://2**sg.xyz/,雖然原網(wǎng)址完全是一個(gè)正規(guī)網(wǎng)站。
(搜索網(wǎng)址為色情網(wǎng)站)
(受害網(wǎng)站原網(wǎng)址為正規(guī)網(wǎng)站)
黑灰產(chǎn)業(yè)鏈持續(xù)發(fā)酵,360安全大腦強(qiáng)勢(shì)出擊
經(jīng)360安全大腦研判分析,此次是黑灰產(chǎn)業(yè)鏈的持續(xù)性攻擊事件,黑客團(tuán)伙使用專業(yè)的滲透技術(shù)對(duì)各類網(wǎng)站進(jìn)行攻擊并植入木馬,非法獲取服務(wù)器控制權(quán),并在隨意管控攻陷的肉雞服務(wù)器的基礎(chǔ)上,利用搜索引流擴(kuò)散色情詐騙內(nèi)容,影響正規(guī)網(wǎng)站正常業(yè)務(wù)運(yùn)行。
現(xiàn)階段,黑客團(tuán)伙攻擊仍在持續(xù),廣大用戶應(yīng)格外警惕,避免遭受不必要的損失。對(duì)此,360安全大腦給出如下安全建議:
1、盡快前往weishi.#,下載安裝360安全衛(wèi)士,有效攔截各類病毒木馬攻擊,保護(hù)電腦隱私及財(cái)產(chǎn)安全;
2、注重服務(wù)器安全管理,規(guī)范安全等級(jí)保護(hù)工作,及時(shí)更新漏洞補(bǔ);
3、建立網(wǎng)站安全策略,防止攻擊發(fā)生時(shí)危害進(jìn)一步擴(kuò)大。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會(huì)上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來(lái)實(shí)質(zhì)性的幫助,雙十一期間低至2799元,性價(jià)比很高,簡(jiǎn)直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會(huì)——工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析專題論壇在沈陽(yáng)成功舉辦。