企業(yè)官網(wǎng)慘變色情網(wǎng)站，360安全大腦獨家揭秘幕后騙局

互聯(lián)網(wǎng)信息服務(wù)(Internet Information Services)是由微軟公司提供的基于運行Microsoft Windows的互聯(lián)網(wǎng)基本服務(wù)，大多數(shù)Windows系統(tǒng)服務(wù)器均有安裝，常用來運行Web服務(wù)。而當這一底層架構(gòu)被惡意黑客盯上，網(wǎng)絡(luò)威脅自然隨之而來。

近日，360安全大腦獨家發(fā)現(xiàn)一新型惡意模塊，被黑客植入其攻陷的IIS WEB服務(wù)器，并利用該惡意模塊替換IIS服務(wù)中的一個服務(wù)組件，躲避檢測查殺。經(jīng)360安全大腦分析，本次攻擊事件最早開始于2020年8月，黑客攻陷數(shù)個知名云服務(wù)提供商的數(shù)十臺服務(wù)器，受影響網(wǎng)站數(shù)量高達幾千例，360安全大腦第一時間發(fā)出緊急安全預(yù)警。

攻陷公用云主機服務(wù)器，“染毒蜘蛛”過境數(shù)千網(wǎng)站

360安全大腦分析發(fā)現(xiàn)，被攻擊服務(wù)器主要為公用云主機服務(wù)器，且通常黑客攻陷一個公用云主機服務(wù)器后，即可直接獲得幾十甚至上百個網(wǎng)站的控制權(quán)，其中不乏企業(yè)官網(wǎng)。360安全大腦監(jiān)測數(shù)據(jù)顯示，此次遭攻擊服務(wù)器高達數(shù)十臺，幾千個網(wǎng)站受波及。

(部分受害企業(yè))

鑒于上述情況，360安全大腦第一時間對樣本展開分析，隨后發(fā)現(xiàn)黑客在攻陷目標服務(wù)器后，會從網(wǎng)上下載一個包含db.db、dd.cc、e.cc模塊、x64.dd、x86.dd五個文件的惡意壓縮包，各文件功能具體如下：

db.db 是一個SQLite3數(shù)據(jù)庫文件。主要包含惡意模塊需要的網(wǎng)站模版及關(guān)鍵字等信息，此文件后續(xù)會被寫入IIS目錄下的inetsrv\modrqflt.dll:db.db文件中，這是一個擁有FILE_ATTRIBUTE_INTEGRITY_STREAM屬性的文件，在目錄下不可見。

dd.cc是黑客開發(fā)的惡意模塊安裝工具。黑客使用該工具可改變modrqflt.dll的訪問控制權(quán)限(DACL)，從而成功將modrqflt.dll重命名為cache.dll，并將惡意程序改名為modrqflt.dll。

e.cc模塊是用來停止被攻陷服務(wù)器日志記錄的功能。運行之后，其會遍歷線程找到Eventlog服務(wù)的線程并停止，以此來停止日志記錄的功能。

x64.dd為黑客編寫的64位惡意modrqflt.dll，主要用來替換C:\Windows\System32\inetsrv下iis服務(wù)器自帶的modrqflt.dll。

x86.dd 則是黑客編寫的32位惡意modrqflt.dll，主要用來替換C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。

(黑客攻陷目標服務(wù)器后下載的惡意壓縮包)

modrqflt.dll是提供請求過濾處理(Request filtering handler)的功能模塊，而成功替換后，黑客便可以過濾掉網(wǎng)站正常訪問請求，專門為搜索引擎蜘蛛(爬蟲)提供色情素材。

完成惡意模塊的替換后，當搜索引擎蜘蛛(爬蟲)訪問網(wǎng)站原本失效鏈接時，此模塊即會生成一個包含大量鏈接的“空白”頁面，并將HTTP響應(yīng)碼由404改為200來欺騙“蜘蛛”(爬蟲)。而“蜘蛛”在獲取該頁面后，會繼續(xù)訪問頁面中的所有鏈接，并抽取關(guān)鍵字存入搜索數(shù)據(jù)庫。此時，如果有用戶搜索對應(yīng)關(guān)鍵詞，就會返回上述偽造鏈接及頁面，如果惡意DLL仍然存在，則會直接跳轉(zhuǎn)到色情網(wǎng)站。

空白頁面神隱“透明”網(wǎng)址，騙過爬蟲蜘蛛猖狂搞顏色

404頁面并不少見，通常是由于服務(wù)器地址變動，或者維護不到位等因素導致網(wǎng)站個別鏈接失效。正常情況下，當搜索引擎蜘蛛爬取時遇到此類鏈接，也會顯示404頁面，但對于遭遇黑客攻陷的網(wǎng)站來說，其失效鏈接則會騙過“蜘蛛”，顯示空白頁面卻在源碼中暗藏大量鏈接。

看到這里你或許會有疑問，中招的網(wǎng)站怎么區(qū)分正常的用戶和爬蟲呢?其實當用戶使用瀏覽器打開一個網(wǎng)站，瀏覽器向網(wǎng)站服務(wù)器發(fā)出請求時，會在請求數(shù)據(jù)頭部設(shè)置一個User-Agent的字段，例如訪問百度時：

而當搜索引擎爬取時，User-Agent設(shè)置的則有一些不一樣：

百度蜘蛛

Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html)

360蜘蛛：

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider

神馬蜘蛛：

Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36

搜狗蜘蛛：

Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)

此次事件中，不法黑客下載的惡意模塊會通過判斷User-Agent區(qū)分用戶和蜘蛛(爬蟲)，當識別為搜索引擎蜘蛛后，就會返回上述100條鏈接，其中前80條hostname是惡意模塊生成的隨機頁面，與當前網(wǎng)站的hostname一致;后20條hostname則是其他受害網(wǎng)站生成的隨機頁面，均為接口hxxp://zjclasjsdknlnxsa.com:8081/ping返回(此接口需要特殊User-Agent才能訪問)。

與此同時，100條隨機生成的頁面鏈接，看似雜亂無章其實暗藏一定規(guī)律的，它們的URL一般是由下圖中的規(guī)則構(gòu)成，即[]中的為可選。

參照上圖的URL規(guī)則，觀察隨機鏈接中的path字段會發(fā)現(xiàn)，它們?nèi)际且詌ista/xzs/api/bks開頭，且以上四個關(guān)鍵詞，分別對應(yīng)了四套惡意模塊使用網(wǎng)站模版。

在生成網(wǎng)頁過程中，程序還會隨機讀取keyword等其他表中的數(shù)據(jù)，以此來替換網(wǎng)站模版中的對應(yīng)留空位置。四套模版運行如下圖所示：

上述網(wǎng)頁顯示內(nèi)容，都是訪問受害網(wǎng)址時數(shù)據(jù)庫關(guān)鍵字替換隨機生成的，搜索引擎蜘蛛(爬蟲)則會將上述偽造的URL和頁面緩存在數(shù)據(jù)庫中。當用戶在搜索引擎中搜索色情關(guān)鍵詞，一旦命中上述偽造頁面內(nèi)容，那么搜索引擎就會返回上述偽造的URL和頁面摘要。

此時，如若用戶點擊頁面網(wǎng)址，瀏覽器則會默認設(shè)置Referer字段，以此來標明是從那個鏈接找到當前的鏈接。惡意模塊正是利用這一點，區(qū)分當前訪問頁面是否來自于百度/360/搜狗/神馬等國內(nèi)搜索引擎中的一種。

特別是，如果接口hxxp://zjclasjsdknlnxsa.com:8081/jump有返回數(shù)據(jù)，則會設(shè)置頁面的內(nèi)容為接口返回的數(shù)據(jù)：

如若沒有獲取到接口數(shù)據(jù)，則會訪問db.db數(shù)據(jù)庫，將jump中的代碼插入網(wǎng)頁中：

        <script               type="text/javascript" 

        src="hxxp://zjclasjsdknlnxsa.com/js/jump.js"></script>

jump.js內(nèi)容如下：

上述代碼的主要功能就是跳轉(zhuǎn)到最終的色情網(wǎng)站：

而當我們在某搜索引擎搜索受害網(wǎng)站關(guān)鍵詞時，點擊搜索的鏈接，打開的就是色情網(wǎng)址hxxps://2**sg.xyz/，雖然原網(wǎng)址完全是一個正規(guī)網(wǎng)站。

(搜索網(wǎng)址為色情網(wǎng)站)

(受害網(wǎng)站原網(wǎng)址為正規(guī)網(wǎng)站)

黑灰產(chǎn)業(yè)鏈持續(xù)發(fā)酵，360安全大腦強勢出擊

經(jīng)360安全大腦研判分析，此次是黑灰產(chǎn)業(yè)鏈的持續(xù)性攻擊事件，黑客團伙使用專業(yè)的滲透技術(shù)對各類網(wǎng)站進行攻擊并植入木馬，非法獲取服務(wù)器控制權(quán)，并在隨意管控攻陷的肉雞服務(wù)器的基礎(chǔ)上，利用搜索引流擴散色情詐騙內(nèi)容，影響正規(guī)網(wǎng)站正常業(yè)務(wù)運行。

現(xiàn)階段，黑客團伙攻擊仍在持續(xù)，廣大用戶應(yīng)格外警惕，避免遭受不必要的損失。對此，360安全大腦給出如下安全建議：

1、盡快前往weishi.#，下載安裝360安全衛(wèi)士，有效攔截各類病毒木馬攻擊，保護電腦隱私及財產(chǎn)安全;

2、注重服務(wù)器安全管理，規(guī)范安全等級保護工作，及時更新漏洞補丁;

3、建立網(wǎng)站安全策略，防止攻擊發(fā)生時危害進一步擴大。