首頁 > 安全資訊 > 正文

小心!被騙"蜘蛛"在線瘋狂搞顏色,誤點即刻掉入詐騙漩渦

互聯網信息服務(Internet Information Services)是由微軟公司提供的基于運行Microsoft Windows的互聯網基本服務,大多數Windows系統服務器均有安裝,常用來運行Web服務。而當這一底層架構被惡意黑客盯上,網絡威脅自然隨之而來。

近日,360安全大腦獨家發現一新型惡意模塊,被黑客植入其攻陷的IIS WEB服務器,并利用該惡意模塊替換IIS服務中的一個服務組件,躲避檢測查殺。經360安全大腦分析,本次攻擊事件最早開始于2020年8月,黑客攻陷數個知名云服務提供商的數十臺服務器,受影響網站數量高達幾千例,360安全大腦第一時間發出緊急安全預警。

攻陷公用云主機服務器,"染毒蜘蛛"過境數千網站

360安全大腦分析發現,被攻擊服務器主要為公用云主機服務器,且通常黑客攻陷一個公用云主機服務器后,即可直接獲得幾十甚至上百個網站的控制權,其中不乏企業官網。360安全大腦監測數據顯示,此次遭攻擊服務器高達數十臺,幾千個網站受波及。

(部分受害企業)

鑒于上述情況,360安全大腦第一時間對樣本展開分析,隨后發現黑客在攻陷目標服務器后,會從網上下載一個包含db.db、dd.cc、e.cc模塊、x64.dd、x86.dd五個文件的惡意壓縮包,各文件功能具體如下:

db.db 是一個SQLite3數據庫文件。主要包含惡意模塊需要的網站模版及關鍵字等信息,此文件后續會被寫入IIS目錄下的inetsrv\modrqflt.dll:db.db文件中,這是一個擁有FILE_ATTRIBUTE_INTEGRITY_STREAM屬性的文件,在目錄下不可見。

dd.cc是黑客開發的惡意模塊安裝工具。黑客使用該工具可改變modrqflt.dll的訪問控制權限(DACL),從而成功將modrqflt.dll重命名為cache.dll,并將惡意程序改名為modrqflt.dll。

e.cc模塊是用來停止被攻陷服務器日志記錄的功能。運行之后,其會遍歷線程找到Eventlog服務的線程并停止,以此來停止日志記錄的功能。

x64.dd為黑客編寫的64位惡意modrqflt.dll,主要用來替換C:\Windows\System32\inetsrv下iis服務器自帶的modrqflt.dll。

x86.dd 則是黑客編寫的32位惡意modrqflt.dll,主要用來替換C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。

(黑客攻陷目標服務器后下載的惡意壓縮包)

modrqflt.dll是提供請求過濾處理(Request filtering handler)的功能模塊,而成功替換后,黑客便可以過濾掉網站正常訪問請求,專門為搜索引擎蜘蛛(爬蟲)提供色情素材。


完成惡意模塊的替換后,當搜索引擎蜘蛛(爬蟲)訪問網站原本失效鏈接時,此模塊即會生成一個包含大量鏈接的"空白"頁面,并將HTTP響應碼由404改為200來欺騙"蜘蛛"(爬蟲)。而"蜘蛛"在獲取該頁面后,會繼續訪問頁面中的所有鏈接,并抽取關鍵字存入搜索數據庫。此時,如果有用戶搜索對應關鍵詞,就會返回上述偽造鏈接及頁面,如果惡意DLL仍然存在,則會直接跳轉到色情網站。

空白頁面神隱"透明"網址,騙過爬蟲蜘蛛猖狂搞顏色

404頁面并不少見,通常是由于服務器地址變動,或者維護不到位等因素導致網站個別鏈接失效。正常情況下,當搜索引擎蜘蛛爬取時遇到此類鏈接,也會顯示404頁面,但對于遭遇黑客攻陷的網站來說,其失效鏈接則會騙過"蜘蛛",顯示空白頁面卻在源碼中暗藏大量鏈接。

看到這里你或許會有疑問,中招的網站怎么區分正常的用戶和爬蟲呢?其實當用戶使用瀏覽器打開一個網站,瀏覽器向網站服務器發出請求時,會在請求數據頭部設置一個User-Agent的字段,例如訪問百度時:

而當搜索引擎爬取時,User-Agent設置的則有一些不一樣:

百度蜘蛛

Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html)

360蜘蛛:

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider

神馬蜘蛛:

Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36

搜狗蜘蛛:

Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)

此次事件中,不法黑客下載的惡意模塊會通過判斷User-Agent區分用戶和蜘蛛(爬蟲),當識別為搜索引擎蜘蛛后,就會返回上述100條鏈接,其中前80條hostname是惡意模塊生成的隨機頁面,與當前網站的hostname一致;后20條hostname則是其他受害網站生成的隨機頁面,均為接口hxxp://zjclasjsdknlnxsa.com:8081/ping返回(此接口需要特殊User-Agent才能訪問)。

與此同時,100條隨機生成的頁面鏈接,看似雜亂無章其實暗藏一定規律的,它們的URL一般是由下圖中的規則構成,即[]中的為可選。

參照上圖的URL規則,觀察隨機鏈接中的path字段會發現,它們全都是以lista/xzs/api/bks開頭,且以上四個關鍵詞,分別對應了四套惡意模塊使用網站模版。

在生成網頁過程中,程序還會隨機讀取keyword等其他表中的數據,以此來替換網站模版中的對應留空位置。四套模版運行如下圖所示:

上述網頁顯示內容,都是訪問受害網址時數據庫關鍵字替換隨機生成的,搜索引擎蜘蛛(爬蟲)則會將上述偽造的URL和頁面緩存在數據庫中。當用戶在搜索引擎中搜索色情關鍵詞,一旦命中上述偽造頁面內容,那么搜索引擎就會返回上述偽造的URL和頁面摘要。

此時,如若用戶點擊頁面網址,瀏覽器則會默認設置Referer字段,以此來標明是從那個鏈接找到當前的鏈接。惡意模塊正是利用這一點,區分當前訪問頁面是否來自于百度/360/搜狗/神馬等國內搜索引擎中的一種。

特別是,如果接口hxxp://zjclasjsdknlnxsa.com:8081/jump有返回數據,則會設置頁面的內容為接口返回的數據:

如若沒有獲取到接口數據,則會訪問db.db數據庫,將jump中的代碼插入網頁中:

jump.js內容如下:

上述代碼的主要功能就是跳轉到最終的色情網站:

而當我們在某搜索引擎搜索受害網站關鍵詞時,點擊搜索的鏈接,打開的就是色情網址hxxps://2**sg.xyz/,雖然原網址完全是一個正規網站。

(搜索網址為色情網站)

(受害網站原網址為正規網站)

黑灰產業鏈持續發酵,360安全大腦強勢出擊

經360安全大腦研判分析,此次是黑灰產業鏈的持續性攻擊事件,黑客團伙使用專業的滲透技術對各類網站進行攻擊并植入木馬,非法獲取服務器控制權,并在隨意管控攻陷的肉雞服務器的基礎上,利用搜索引流擴散色情詐騙內容,影響正規網站正常業務運行。

現階段,黑客團伙攻擊仍在持續,廣大用戶應格外警惕,避免遭受不必要的損失。對此,360安全大腦給出如下安全建議:

1、盡快前往weishi.#,下載安裝360安全衛士,有效攔截各類病毒木馬攻擊,保護電腦隱私及財產安全;

2、注重服務器安全管理,規范安全等級保護工作,及時更新漏洞補丁;

3、建立網站安全策略,防止攻擊發生時危害進一步擴大。


360安全衛士

熱點排行

用戶
反饋
返回
頂部
竞博官网登录