2010年上半年教育网网站挂马监测分析报告出炉挂马率剧增挑战校园网
2010-07-04北京大学网络与信息安全实验室,中国教育和科研网紧急响应组,中国教育网体检中心
通过2010年上半年教育网挂马监测数据结果分析,425个顶级域名的1,347个网站被挂马,上半年网站挂马率达到3.88%,这说明教育网网站的安全状况仍不容乐观。
网站挂马近年来一直是国内互联网最严重的安全威胁之一,也对教育网网站构成了现实的普遍危害。随着高考招生拉开帷幕,教育网网站,特别是高招网站,成为广大考生和家长频繁浏览的热门站点,也不可避免地成为恶意攻击者的关注目标。
北京大学网络与信息安全实验室(ercis.icst.pku.edu.cn)于去年完成了网站挂马监测平台系统的研发,通过与中国教育网体检中心(www.nhcc.edu.cn)、中国教育和科研网紧急响应组(www.ccert.edu.cn)合作,在中国教育网体检中心向教育网网站提供公益性的网站挂马监测服务。从今年1月份开始,该系统对教育网上可公开访问的3.5万多个网站进行周期性的持续监测,上半年累计检测到425个教育网顶级域名下的1,374个网站被挂马,且在高考高招期间呈现快速增长趋势。报告通过对上半年教育网网站挂马监测数据的全面分析,并结合典型案例分析,展示网站挂马威胁的发展态势,并建议高校安全管理部门和人员加强意识,通过多种渠道对高校网站进行安全检测与加固,以防止被恶意攻击和挂马。
被挂马网站数据统计分析
2010年上半年,网站挂马监测平台累计检测到425个教育网顶级域名下的1,374个网站被挂马,上半年挂马率为3.88%(即在上半年周期内,教育网内有3.88%比例的网站曾被检测出挂马)。每月在教育网中检出的挂马网站数量和月度的挂马率变化趋势如图 1所示,总体呈现快速增长趋势。2月,由于春节假期等因素挂马网站数量较少;进入3月中下旬,由于当时IE浏览器中爆出iepeers零日漏洞(又称为”极风”),以及攻击该漏洞的网马在黑客社区中广泛流传,3月和4月的教育网挂马网站数量成倍攀升,并在4月及5月高考高招来临前保持在高位状态,月度挂马率接近2%;6月挂马率稍稍回落至1.67%,共检出590个挂马网站,可能是因为部分高校网站,特别是高招网站,其安全开始得到重视。
对于监测平台所检出的教育网挂马网站,我们在检出后的第一时间查询Google安全浏览(Google Safe Browsing) API接口,获取Google是否对这些网站进行恶意标注的结果。值得注意的是在平台于5~6月检出的833个挂马网站中,Google标注了340个,未标注比例达到近60%。该数据说明,虽然Google安全浏览计划监测面很广,但对中国教育网的监测覆盖面尚不够充分。
图1 2010年上半年教育网网站挂马数量和月度挂马率呈快速增长趋势
在2010年上半年检出的1,374个挂马网站中,我们进一步对这些网站在平台每轮监测中检出次数和挂马检出的持续时间进行了统计,其分布如图 2所示。挂马网站的平均检出次数为3.9,检出次数最多的网站达到了28次,是某高校的精品课程网站;检出持续时间最长为143天,被检出的某高校生物技术学院在1月下旬检出后一直保持被挂马状态,持续被平台检出。而检出挂马网站的平均挂马持续时间为25.7天1,这说明教育网部分网站对挂马的检测和响应还远远不够主动和迅速,也使得挂马网站持续地对访问者构成安全威胁。
图2 2010年上半年教育网挂马网站检出次数和挂马持续时间分布
检出的1,374个挂马网站分布于425个教育网顶级域名(即大致分布于400多个高校和科研院所单位),检出挂马网站最多顶级域名为haue.edu.cn。从2月3日至6月28日,在该域名下持续有48个不同的网站被检出挂马,检出次数达到233次。经分析,该高校网站大部分都建在同一IP的服务器上,且均采用了ASP动态页面建站;而被植入的网页木马也都属于同一渗透代码工具包(Exploit Kit),而且宿主域名源于同一动态域名服务。因此,可以推测,该高校大量网站被挂马是同一攻击者(团伙)所为,通过攻入服务器,在不同虚拟主机目录的网页中插入恶意挂马链接,从而实施网站挂马攻击。在检出挂马网站的425个顶级域名中,平均每个域名下有3.2个挂马网站,这些检出挂马网站的顶级域名所属单位也几乎囊括了目前国内所有985及211高校。
图3 教育网检出挂马网站数量和次数的顶级域名分布情况
表1 传播网站数量最多的网页木马宿主站点
表2 影响挂马网站数量最多的网页木马宿主站点根域名
网页木马宿主站点分析
网站挂马监测平台具有网页木马精确定位和挂马链提取功能,对于检测到的挂马网站,能够追溯网页木马宿主站点。基于这些原始数据,我们对上半年教育网检出的网页木马宿主站点进行统计分析,从而尝试揭示出一些攻击者构建挂马攻击场景的技术规律。
在平台对1 374个挂马网站的累计26,956次检出结果中,这些挂马网站最终装载了位于1,001个恶意宿主上的网页木马URL,传播网站数量最多的网页木马宿主站点如表1,最多的宿主站点o.lookforhosting.com上的网页木马链接在145个教育网网站中植入传播。表 2显示了影响挂马网站数量最多的网页木马宿主站点根域名,以及在这些根域名上所发现的网页木马宿主站点数量,从中可以看出大量网页木马宿主站点利用从希网免费域名服务申请的动态域名进行DNS解析,这说明了国内动态域名服务尚存在被滥用的情况,需对动态域名注册进一步加强安全管理。
在我们的监测过程中发现,检出的挂马网站在每轮监测中提取到的网页木马宿主站点具有高度的变化性,72.7%的挂马网站所挂接的宿主站点进行了变化转移,每个挂马网站平均对应的宿主站点数竟达到了5.32。此外,我们监测到的宿主站点分布于170个顶级域名上,其中的46个顶级域名至少拥有两个恶意宿主站点,平均拥有19个。特别是希网旗下的2288.org、8800.org、3322.org、6600.org、8866.org、9966.org和7766.org免费动态域名服务,共计为544个恶意宿主站点提供了动态域名,超出了我们所发现恶意宿主站点总数的一半以上。其中攻击者在2288.org等动态域名服务上引入了域名随机化机制,如60433.23620979173.ajw.2288.org,也使得用于分发网页木马的恶意宿主站点域名更加多样化。
这种在恶意宿主站点和域名上的高度变化性和对抗性显然是在回避目前产业界和国家监管部门普遍实施的黑名单域名和网址过滤机制,这对有效应对处置网站挂马威胁提出了更高的挑战。
网页木马利用的安全漏洞
目前网站挂马监测平台主要仍采用动态行为分析技术检测和发现挂马网站,尚无法自动化地分析出网页木马所利用的安全漏洞类型。为了进一步完善平台,我们已经在浏览器模块间通讯劫持技术、基于安全漏洞特征的网页木马检测方法、基于安全漏洞模拟的网页木马检测方法等方面取得了技术突破,相关研究成果发表于AsiaCCS’10等知名国际会议上,也将利用创新技术进一步完善监测业务平台。
根据对固化保全的网页木马攻击场景进行人工辅助分析的结果,我们总结了2010年上半年检出网页木马所主要利用的安全漏洞和攻击方式:网马利用最为流行和普遍的漏洞莫过于IE浏览器中爆出的MS10-018(国内又称“极风”)和MS10-002(“极光”);而2009年的MS09-043、MS09-032,2008年的MS08-054、联众GLIEDown.IEDown.1控件多个缓冲区溢出漏洞,2007年的RealPlayer IERPCtl.IERPCtl.1控件漏洞和“老的掉牙”的MS06-014漏洞仍频频出现在集成多个渗透攻击代码的网马攻击包中;另外Adobe公司的Flash和PDF由于应用面广泛、支持内嵌ActionScript和JavaScript等脚本语言,也已经成为网马攻击的常用途径,在从教育网中检出的网页木马攻击场景中,我们也发现大量用于承载渗透攻击的恶意SWF和PDF文件。
表3 2010年上半年网页木马利用的主要安全漏洞和攻击方式
“极光”与“极风”是今年上半年微软IE浏览器中先后被爆出0day和网马攻击的安全漏洞。“极光”漏洞(MS10-002)由于最早在作为Google“退出中国市场”事件导火索的“极光”攻击事件中被利用而闻名,其本质是IE浏览器DOM模型实现中存在的对象引用计数错误,从而导致的use-after-free类型安全漏洞(详见《中国教育网络》2-3合刊:微软“极光”漏洞殃及谷歌和中国网民)。而“极风”漏洞(MS10-018)也同样是IE浏览器中爆出的useafter-free类型漏洞,漏洞触发点在于CPersistUserData::setAttribute()方法,由于该方法对VT_DISPATCH类型的Variant变量转化过程中的引用计数处理失误导致内存破坏,从而造成远程执行任意代码2。
如图 4所示,我们对这两个漏洞在检出高校挂马网站中流行趋势做了一个统计分析,对每旬所检测到的包含这两个漏洞利用网马的挂马攻击场景数量进行分析与对比。从图示结果可以显示出典型的安全漏洞利用生命周期,如“极光”漏洞,从1月15日被公开披露以后,即随进入0day和1day阶段的高峰利用期,然后随着补丁的推出、广泛应用及其他0day漏洞的出现,其利用范围和规模也逐步地衰减,但会具有一个较为漫长的“半衰期”。而“极风”漏洞被网马利用的范围和持续时间要比“极光”漏洞高出一个数量级,一个可能的原因是“极光”漏洞的爆出时间是处在临近春节假期,而国内各类攻击现象的统计规律往往揭示出攻击者在春节期间也会安心的过节休息,而不会过多加班加点的攻击。
图4 “极光”与“极风”漏洞利用网页木马场景数量的趋势分析与对比
图5 网页木马渗透代码变种
针对上半年最流行的“极风”安全漏洞,监测平台在不同时间点也采集到了针对同一漏洞但形态不同的网页木马,从中我们也可以看出网页木马渗透代码随时间不断演变的趋势。在2010年3月11日“极风”漏洞还处于0day阶段时,我们的监测平台发现了第一个攻击该漏洞的网页木马渗透代码,而第一个版本非常简单易懂,并没有引入任何的混淆机制。而在3月22日我们发现了第一个变种,如图5中代码所示,该变种只是在Heapspray过程中采用了混淆机制,将shellcode隐藏至SCRIPT外链的一个伪装CSS文件中,并通过字符串的编码操作对实施Heapspray的代码进行了混淆。
而在此之后,我们进一步发现了另外5种针对“极风”漏洞攻击的网页木马,这些变种主要在如下两方面进行了增强:
引入了更强的混淆机制:网页木马渗透代码引入了更多的混淆机制以对抗检测与分析。混淆技术从简单的字符串操作、escape函数编码,到复杂的自动化加密工具。如我们在一个较新的“极风”网马中发现了“Encrypt By Dadong’s JSXX 0.31 VIP”的注释,显然这使用了一个专门开发的加密工具,该加密工具能够绕过Freshow等已有网马辅助分析工具的解密能力。
攻击优化:优化渗透攻击代码以获得更高的攻击成功率。一些“极风”网马变种尝试多次攻击,并针对客户端浏览器的不同版本装载和运行不同的渗透攻击代码。
北京大学网络与信息安全实验室、中国教育和科研网紧急响应组(CCERT)、中国教育网体检中心合作开展对教育网中的网站挂马情况进行全网检测和态势分析,并为中国教育网体检中心(www.nhcc.edu.cn)注册的高校网站用户提供网站挂马定点监测服务(ercis.icst.pku.edu.cn)。通过2010年上半年教育网挂马监测数据结果分析,425个顶级域名的1,347个网站被挂马,上半年网站挂马率达到3.88%,这说明教育网网站的安全状况仍不容乐观。希望高校网络安全管理部门和人员能够充分重视,对相关网站进行全面检测和安全加固,积极预防,尽量避免网站挂马等安全事件的发生。