2010年上半年教育網(wǎng)網(wǎng)站掛馬監(jiān)測分析報(bào)告出爐掛馬率劇增挑戰(zhàn)校園網(wǎng)

通過2010年上半年教育網(wǎng)掛馬監(jiān)測數(shù)據(jù)結(jié)果分析，425個頂級域名的1,347個網(wǎng)站被掛馬，上半年網(wǎng)站掛馬率達(dá)到3.88%，這說明教育網(wǎng)網(wǎng)站的安全狀況仍不容樂觀。

網(wǎng)站掛馬近年來一直是國內(nèi)互聯(lián)網(wǎng)最嚴(yán)重的安全威脅之一，也對教育網(wǎng)網(wǎng)站構(gòu)成了現(xiàn)實(shí)的普遍危害。隨著高考招生拉開帷幕，教育網(wǎng)網(wǎng)站，特別是高招網(wǎng)站，成為廣大考生和家長頻繁瀏覽的熱門站點(diǎn)，也不可避免地成為惡意攻擊者的關(guān)注目標(biāo)。

北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室(ercis.icst.pku.edu.cn)于去年完成了網(wǎng)站掛馬監(jiān)測平臺系統(tǒng)的研發(fā)，通過與中國教育網(wǎng)體檢中心(www.nhcc.edu.cn)、中國教育和科研網(wǎng)緊急響應(yīng)組（www.ccert.edu.cn）合作，在中國教育網(wǎng)體檢中心向教育網(wǎng)網(wǎng)站提供公益性的網(wǎng)站掛馬監(jiān)測服務(wù)。從今年1月份開始，該系統(tǒng)對教育網(wǎng)上可公開訪問的3.5萬多個網(wǎng)站進(jìn)行周期性的持續(xù)監(jiān)測，上半年累計(jì)檢測到425個教育網(wǎng)頂級域名下的1,374個網(wǎng)站被掛馬，且在高考高招期間呈現(xiàn)快速增長趨勢。報(bào)告通過對上半年教育網(wǎng)網(wǎng)站掛馬監(jiān)測數(shù)據(jù)的全面分析，并結(jié)合典型案例分析，展示網(wǎng)站掛馬威脅的發(fā)展態(tài)勢，并建議高校安全管理部門和人員加強(qiáng)意識，通過多種渠道對高校網(wǎng)站進(jìn)行安全檢測與加固，以防止被惡意攻擊和掛馬。

被掛馬網(wǎng)站數(shù)據(jù)統(tǒng)計(jì)分析

2010年上半年，網(wǎng)站掛馬監(jiān)測平臺累計(jì)檢測到425個教育網(wǎng)頂級域名下的1,374個網(wǎng)站被掛馬，上半年掛馬率為3.88%（即在上半年周期內(nèi)，教育網(wǎng)內(nèi)有3.88%比例的網(wǎng)站曾被檢測出掛馬）。每月在教育網(wǎng)中檢出的掛馬網(wǎng)站數(shù)量和月度的掛馬率變化趨勢如圖 1所示，總體呈現(xiàn)快速增長趨勢。2月，由于春節(jié)假期等因素掛馬網(wǎng)站數(shù)量較少；進(jìn)入3月中下旬，由于當(dāng)時(shí)IE瀏覽器中爆出iepeers零日漏洞（又稱為”極風(fēng)”），以及攻擊該漏洞的網(wǎng)馬在黑客社區(qū)中廣泛流傳，3月和4月的教育網(wǎng)掛馬網(wǎng)站數(shù)量成倍攀升，并在4月及5月高考高招來臨前保持在高位狀態(tài)，月度掛馬率接近2%；6月掛馬率稍稍回落至1.67%，共檢出590個掛馬網(wǎng)站，可能是因?yàn)椴糠指咝＞W(wǎng)站，特別是高招網(wǎng)站，其安全開始得到重視。

對于監(jiān)測平臺所檢出的教育網(wǎng)掛馬網(wǎng)站，我們在檢出后的第一時(shí)間查詢Google安全瀏覽(Google Safe Browsing) API接口，獲取Google是否對這些網(wǎng)站進(jìn)行惡意標(biāo)注的結(jié)果。值得注意的是在平臺于5～6月檢出的833個掛馬網(wǎng)站中，Google標(biāo)注了340個，未標(biāo)注比例達(dá)到近60%。該數(shù)據(jù)說明，雖然Google安全瀏覽計(jì)劃監(jiān)測面很廣，但對中國教育網(wǎng)的監(jiān)測覆蓋面尚不夠充分。

圖1 2010年上半年教育網(wǎng)網(wǎng)站掛馬數(shù)量和月度掛馬率呈快速增長趨勢

在2010年上半年檢出的1,374個掛馬網(wǎng)站中，我們進(jìn)一步對這些網(wǎng)站在平臺每輪監(jiān)測中檢出次數(shù)和掛馬檢出的持續(xù)時(shí)間進(jìn)行了統(tǒng)計(jì)，其分布如圖 2所示。掛馬網(wǎng)站的平均檢出次數(shù)為3.9，檢出次數(shù)最多的網(wǎng)站達(dá)到了28次，是某高校的精品課程網(wǎng)站；檢出持續(xù)時(shí)間最長為143天，被檢出的某高校生物技術(shù)學(xué)院在1月下旬檢出后一直保持被掛馬狀態(tài)，持續(xù)被平臺檢出。而檢出掛馬網(wǎng)站的平均掛馬持續(xù)時(shí)間為25.7天1，這說明教育網(wǎng)部分網(wǎng)站對掛馬的檢測和響應(yīng)還遠(yuǎn)遠(yuǎn)不夠主動和迅速，也使得掛馬網(wǎng)站持續(xù)地對訪問者構(gòu)成安全威脅。

圖2 2010年上半年教育網(wǎng)掛馬網(wǎng)站檢出次數(shù)和掛馬持續(xù)時(shí)間分布

檢出的1,374個掛馬網(wǎng)站分布于425個教育網(wǎng)頂級域名（即大致分布于400多個高校和科研院所單位），檢出掛馬網(wǎng)站最多頂級域名為haue.edu.cn。從2月3日至6月28日，在該域名下持續(xù)有48個不同的網(wǎng)站被檢出掛馬，檢出次數(shù)達(dá)到233次。經(jīng)分析，該高校網(wǎng)站大部分都建在同一IP的服務(wù)器上，且均采用了ASP動態(tài)頁面建站；而被植入的網(wǎng)頁木馬也都屬于同一滲透代碼工具包(Exploit Kit)，而且宿主域名源于同一動態(tài)域名服務(wù)。因此，可以推測，該高校大量網(wǎng)站被掛馬是同一攻擊者(團(tuán)伙)所為，通過攻入服務(wù)器，在不同虛擬主機(jī)目錄的網(wǎng)頁中插入惡意掛馬鏈接，從而實(shí)施網(wǎng)站掛馬攻擊。在檢出掛馬網(wǎng)站的425個頂級域名中，平均每個域名下有3.2個掛馬網(wǎng)站，這些檢出掛馬網(wǎng)站的頂級域名所屬單位也幾乎囊括了目前國內(nèi)所有985及211高校。

圖3 教育網(wǎng)檢出掛馬網(wǎng)站數(shù)量和次數(shù)的頂級域名分布情況

表1 傳播網(wǎng)站數(shù)量最多的網(wǎng)頁木馬宿主站點(diǎn)

表2 影響掛馬網(wǎng)站數(shù)量最多的網(wǎng)頁木馬宿主站點(diǎn)根域名

網(wǎng)頁木馬宿主站點(diǎn)分析

網(wǎng)站掛馬監(jiān)測平臺具有網(wǎng)頁木馬精確定位和掛馬鏈提取功能，對于檢測到的掛馬網(wǎng)站，能夠追溯網(wǎng)頁木馬宿主站點(diǎn)。基于這些原始數(shù)據(jù)，我們對上半年教育網(wǎng)檢出的網(wǎng)頁木馬宿主站點(diǎn)進(jìn)行統(tǒng)計(jì)分析，從而嘗試揭示出一些攻擊者構(gòu)建掛馬攻擊場景的技術(shù)規(guī)律。

在平臺對1 374個掛馬網(wǎng)站的累計(jì)26,956次檢出結(jié)果中，這些掛馬網(wǎng)站最終裝載了位于1,001個惡意宿主上的網(wǎng)頁木馬URL，傳播網(wǎng)站數(shù)量最多的網(wǎng)頁木馬宿主站點(diǎn)如表1，最多的宿主站點(diǎn)o.lookforhosting.com上的網(wǎng)頁木馬鏈接在145個教育網(wǎng)網(wǎng)站中植入傳播。表 2顯示了影響掛馬網(wǎng)站數(shù)量最多的網(wǎng)頁木馬宿主站點(diǎn)根域名，以及在這些根域名上所發(fā)現(xiàn)的網(wǎng)頁木馬宿主站點(diǎn)數(shù)量，從中可以看出大量網(wǎng)頁木馬宿主站點(diǎn)利用從希網(wǎng)免費(fèi)域名服務(wù)申請的動態(tài)域名進(jìn)行DNS解析，這說明了國內(nèi)動態(tài)域名服務(wù)尚存在被濫用的情況，需對動態(tài)域名注冊進(jìn)一步加強(qiáng)安全管理。

在我們的監(jiān)測過程中發(fā)現(xiàn)，檢出的掛馬網(wǎng)站在每輪監(jiān)測中提取到的網(wǎng)頁木馬宿主站點(diǎn)具有高度的變化性，72.7%的掛馬網(wǎng)站所掛接的宿主站點(diǎn)進(jìn)行了變化轉(zhuǎn)移，每個掛馬網(wǎng)站平均對應(yīng)的宿主站點(diǎn)數(shù)竟達(dá)到了5.32。此外，我們監(jiān)測到的宿主站點(diǎn)分布于170個頂級域名上，其中的46個頂級域名至少擁有兩個惡意宿主站點(diǎn)，平均擁有19個。特別是希網(wǎng)旗下的2288.org、8800.org、3322.org、6600.org、8866.org、9966.org和7766.org免費(fèi)動態(tài)域名服務(wù)，共計(jì)為544個惡意宿主站點(diǎn)提供了動態(tài)域名，超出了我們所發(fā)現(xiàn)惡意宿主站點(diǎn)總數(shù)的一半以上。其中攻擊者在2288.org等動態(tài)域名服務(wù)上引入了域名隨機(jī)化機(jī)制，如60433.23620979173.ajw.2288.org，也使得用于分發(fā)網(wǎng)頁木馬的惡意宿主站點(diǎn)域名更加多樣化。

這種在惡意宿主站點(diǎn)和域名上的高度變化性和對抗性顯然是在回避目前產(chǎn)業(yè)界和國家監(jiān)管部門普遍實(shí)施的黑名單域名和網(wǎng)址過濾機(jī)制，這對有效應(yīng)對處置網(wǎng)站掛馬威脅提出了更高的挑戰(zhàn)。

網(wǎng)頁木馬利用的安全漏洞

目前網(wǎng)站掛馬監(jiān)測平臺主要仍采用動態(tài)行為分析技術(shù)檢測和發(fā)現(xiàn)掛馬網(wǎng)站，尚無法自動化地分析出網(wǎng)頁木馬所利用的安全漏洞類型。為了進(jìn)一步完善平臺，我們已經(jīng)在瀏覽器模塊間通訊劫持技術(shù)、基于安全漏洞特征的網(wǎng)頁木馬檢測方法、基于安全漏洞模擬的網(wǎng)頁木馬檢測方法等方面取得了技術(shù)突破，相關(guān)研究成果發(fā)表于AsiaCCS’10等知名國際會議上，也將利用創(chuàng)新技術(shù)進(jìn)一步完善監(jiān)測業(yè)務(wù)平臺。

根據(jù)對固化保全的網(wǎng)頁木馬攻擊場景進(jìn)行人工輔助分析的結(jié)果，我們總結(jié)了2010年上半年檢出網(wǎng)頁木馬所主要利用的安全漏洞和攻擊方式：網(wǎng)馬利用最為流行和普遍的漏洞莫過于IE瀏覽器中爆出的MS10-018（國內(nèi)又稱“極風(fēng)”）和MS10-002（“極光”）；而2009年的MS09-043、MS09-032，2008年的MS08-054、聯(lián)眾GLIEDown.IEDown.1控件多個緩沖區(qū)溢出漏洞，2007年的RealPlayer IERPCtl.IERPCtl.1控件漏洞和“老的掉牙”的MS06-014漏洞仍頻頻出現(xiàn)在集成多個滲透攻擊代碼的網(wǎng)馬攻擊包中；另外Adobe公司的Flash和PDF由于應(yīng)用面廣泛、支持內(nèi)嵌ActionScript和JavaScript等腳本語言，也已經(jīng)成為網(wǎng)馬攻擊的常用途徑，在從教育網(wǎng)中檢出的網(wǎng)頁木馬攻擊場景中，我們也發(fā)現(xiàn)大量用于承載滲透攻擊的惡意SWF和PDF文件。

表3 2010年上半年網(wǎng)頁木馬利用的主要安全漏洞和攻擊方式

“極光”與“極風(fēng)”是今年上半年微軟IE瀏覽器中先后被爆出0day和網(wǎng)馬攻擊的安全漏洞?！皹O光”漏洞(MS10-002)由于最早在作為Google“退出中國市場”事件導(dǎo)火索的“極光”攻擊事件中被利用而聞名，其本質(zhì)是IE瀏覽器DOM模型實(shí)現(xiàn)中存在的對象引用計(jì)數(shù)錯誤，從而導(dǎo)致的use-after-free類型安全漏洞（詳見《中國教育網(wǎng)絡(luò)》2-3合刊：微軟“極光”漏洞殃及谷歌和中國網(wǎng)民）。而“極風(fēng)”漏洞(MS10-018)也同樣是IE瀏覽器中爆出的useafter-free類型漏洞，漏洞觸發(fā)點(diǎn)在于CPersistUserData::setAttribute()方法，由于該方法對VT_DISPATCH類型的Variant變量轉(zhuǎn)化過程中的引用計(jì)數(shù)處理失誤導(dǎo)致內(nèi)存破壞，從而造成遠(yuǎn)程執(zhí)行任意代碼2。

如圖 4所示，我們對這兩個漏洞在檢出高校掛馬網(wǎng)站中流行趨勢做了一個統(tǒng)計(jì)分析，對每旬所檢測到的包含這兩個漏洞利用網(wǎng)馬的掛馬攻擊場景數(shù)量進(jìn)行分析與對比。從圖示結(jié)果可以顯示出典型的安全漏洞利用生命周期，如“極光”漏洞，從1月15日被公開披露以后，即隨進(jìn)入0day和1day階段的高峰利用期，然后隨著補(bǔ)丁的推出、廣泛應(yīng)用及其他0day漏洞的出現(xiàn)，其利用范圍和規(guī)模也逐步地衰減，但會具有一個較為漫長的“半衰期”。而“極風(fēng)”漏洞被網(wǎng)馬利用的范圍和持續(xù)時(shí)間要比“極光”漏洞高出一個數(shù)量級，一個可能的原因是“極光”漏洞的爆出時(shí)間是處在臨近春節(jié)假期，而國內(nèi)各類攻擊現(xiàn)象的統(tǒng)計(jì)規(guī)律往往揭示出攻擊者在春節(jié)期間也會安心的過節(jié)休息，而不會過多加班加點(diǎn)的攻擊。

圖4 “極光”與“極風(fēng)”漏洞利用網(wǎng)頁木馬場景數(shù)量的趨勢分析與對比

圖5 網(wǎng)頁木馬滲透代碼變種

針對上半年最流行的“極風(fēng)”安全漏洞，監(jiān)測平臺在不同時(shí)間點(diǎn)也采集到了針對同一漏洞但形態(tài)不同的網(wǎng)頁木馬，從中我們也可以看出網(wǎng)頁木馬滲透代碼隨時(shí)間不斷演變的趨勢。在2010年3月11日“極風(fēng)”漏洞還處于0day階段時(shí)，我們的監(jiān)測平臺發(fā)現(xiàn)了第一個攻擊該漏洞的網(wǎng)頁木馬滲透代碼，而第一個版本非常簡單易懂，并沒有引入任何的混淆機(jī)制。而在3月22日我們發(fā)現(xiàn)了第一個變種，如圖5中代碼所示，該變種只是在Heapspray過程中采用了混淆機(jī)制，將shellcode隱藏至SCRIPT外鏈的一個偽裝CSS文件中，并通過字符串的編碼操作對實(shí)施Heapspray的代碼進(jìn)行了混淆。

而在此之后，我們進(jìn)一步發(fā)現(xiàn)了另外5種針對“極風(fēng)”漏洞攻擊的網(wǎng)頁木馬，這些變種主要在如下兩方面進(jìn)行了增強(qiáng)：

引入了更強(qiáng)的混淆機(jī)制：網(wǎng)頁木馬滲透代碼引入了更多的混淆機(jī)制以對抗檢測與分析。混淆技術(shù)從簡單的字符串操作、escape函數(shù)編碼，到復(fù)雜的自動化加密工具。如我們在一個較新的“極風(fēng)”網(wǎng)馬中發(fā)現(xiàn)了“Encrypt By Dadong’s JSXX 0.31 VIP”的注釋，顯然這使用了一個專門開發(fā)的加密工具，該加密工具能夠繞過Freshow等已有網(wǎng)馬輔助分析工具的解密能力。

攻擊優(yōu)化：優(yōu)化滲透攻擊代碼以獲得更高的攻擊成功率。一些“極風(fēng)”網(wǎng)馬變種嘗試多次攻擊，并針對客戶端瀏覽器的不同版本裝載和運(yùn)行不同的滲透攻擊代碼。

北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室、中國教育和科研網(wǎng)緊急響應(yīng)組(CCERT)、中國教育網(wǎng)體檢中心合作開展對教育網(wǎng)中的網(wǎng)站掛馬情況進(jìn)行全網(wǎng)檢測和態(tài)勢分析，并為中國教育網(wǎng)體檢中心(www.nhcc.edu.cn)注冊的高校網(wǎng)站用戶提供網(wǎng)站掛馬定點(diǎn)監(jiān)測服務(wù)(ercis.icst.pku.edu.cn)。通過2010年上半年教育網(wǎng)掛馬監(jiān)測數(shù)據(jù)結(jié)果分析，425個頂級域名的1,347個網(wǎng)站被掛馬，上半年網(wǎng)站掛馬率達(dá)到3.88%，這說明教育網(wǎng)網(wǎng)站的安全狀況仍不容樂觀。希望高校網(wǎng)絡(luò)安全管理部門和人員能夠充分重視，對相關(guān)網(wǎng)站進(jìn)行全面檢測和安全加固，積極預(yù)防，盡量避免網(wǎng)站掛馬等安全事件的發(fā)生。