|
被掛馬網(wǎng)站囊括多數(shù)高校
2010年上半年,北大網(wǎng)站掛馬監(jiān)測(cè)平臺(tái)累計(jì)檢測(cè)到近400個(gè)教育網(wǎng)頂級(jí)域名下的1,248個(gè)網(wǎng)站被掛馬�,上半年掛馬率為3.52%(即在上半年周期內(nèi),教育網(wǎng)內(nèi)有3.52%比例的網(wǎng)站曾被檢測(cè)出掛馬)�。每月在教育網(wǎng)中檢出的掛馬網(wǎng)站數(shù)量和月度的掛馬率變化趨勢(shì)如圖 1所示,總體呈現(xiàn)快速增長(zhǎng)趨勢(shì)����。2月份由于春節(jié)假期等因素掛馬網(wǎng)站數(shù)量較少,進(jìn)入3月份中下旬由于當(dāng)時(shí)IE瀏覽器中爆出iepeers零日漏洞(又稱為”極風(fēng)”)��,以及攻擊該漏洞的網(wǎng)馬在黑客社區(qū)中廣泛流傳���,3月份和4月份的教育網(wǎng)掛馬網(wǎng)站數(shù)量成倍攀升����,并在5月和6月高考高招臨近期保持在高位狀態(tài)��,月度掛馬率接近2%����。
圖1 2010年上半年教育網(wǎng)網(wǎng)站掛馬數(shù)量和月度掛馬率統(tǒng)計(jì)
對(duì)于我們平臺(tái)所檢出的教育網(wǎng)掛馬網(wǎng)站�,我們也在檢出后第一時(shí)間查詢Google安全瀏覽(Google Safe Browsing)API接口���,獲取Google是否對(duì)這些網(wǎng)站進(jìn)行惡意標(biāo)注的結(jié)果�����。結(jié)果發(fā)現(xiàn)Google對(duì)平臺(tái)檢出的1,248個(gè)掛馬網(wǎng)站���,僅標(biāo)注了295個(gè),未標(biāo)注比例達(dá)到了76.4%�,而對(duì)每次檢測(cè)的未標(biāo)注比例則更是高達(dá)79.3%。該數(shù)據(jù)說(shuō)明雖然Google安全瀏覽計(jì)劃監(jiān)測(cè)面很廣����,但對(duì)中國(guó)教育網(wǎng)的監(jiān)測(cè)覆蓋面尚不夠充分。
北大掛馬監(jiān)測(cè)平臺(tái)目前對(duì)教育網(wǎng)網(wǎng)站大約3天進(jìn)行一輪全網(wǎng)站深度監(jiān)測(cè)����,而每輪監(jiān)測(cè)到的掛馬率變化情況如圖 2,最高值為近0.7%��,檢出245個(gè)網(wǎng)站�,最低值為0.02%��。
圖2 2010年上半年教育網(wǎng)網(wǎng)站每輪監(jiān)測(cè)掛馬率
在2010年上半年檢出的1,248個(gè)掛馬網(wǎng)站中,我們進(jìn)一步對(duì)這些網(wǎng)站在平臺(tái)每輪監(jiān)測(cè)中檢出次數(shù)和掛馬檢出的持續(xù)時(shí)間進(jìn)行了統(tǒng)計(jì)�����,其分布如圖 3所示����。檢出次數(shù)最多的達(dá)到25次,為某高校教育科學(xué)學(xué)院二級(jí)網(wǎng)站���,平均檢出次數(shù)為3.93�����;檢出持續(xù)時(shí)間最長(zhǎng)的132天���,為某高校生物技術(shù)學(xué)院,在1月下旬檢出后一直保持被掛馬狀態(tài)��,持續(xù)被平臺(tái)檢出���,平均掛馬持續(xù)時(shí)間為23.2天����。這說(shuō)明教育網(wǎng)部分網(wǎng)站對(duì)掛馬的檢測(cè)和響應(yīng)還遠(yuǎn)遠(yuǎn)不夠主動(dòng)和迅速,也使得掛馬網(wǎng)站持續(xù)地對(duì)訪問(wèn)者構(gòu)成安全威脅��。
圖3 2010年上半年教育網(wǎng)掛馬網(wǎng)站檢出次數(shù)和掛馬持續(xù)時(shí)間分布
檢出的1,248個(gè)掛馬網(wǎng)站分布于401個(gè)教育網(wǎng)頂級(jí)域名(即大致分布于近400個(gè)高校和科研院所單位)�,檢出掛馬網(wǎng)站最多頂級(jí)域名(haue.edu.cn),從2月3日至6月5日�����,在該域名下持續(xù)有47個(gè)不同的網(wǎng)站被檢出掛馬��,檢出次數(shù)達(dá)到223次�。
經(jīng)分析,該高校網(wǎng)站大部分都建在同一IP的服務(wù)器上�,且均采用了ASP動(dòng)態(tài)頁(yè)面建站,而被植入的網(wǎng)頁(yè)木馬也都屬于同一滲透代碼工具包(Exploit Kit)且宿主域名源于同一動(dòng)態(tài)域名服務(wù)����,因此可以推測(cè)該高校大量網(wǎng)站被掛馬是同一攻擊者(團(tuán)伙)所為,通過(guò)攻入服務(wù)器�,在不同虛擬主機(jī)目錄的網(wǎng)頁(yè)中插入惡意掛馬鏈接,從而實(shí)施網(wǎng)站掛馬攻擊�。在檢出掛馬網(wǎng)站的401個(gè)頂級(jí)域名中,平均每個(gè)域名下有3.02個(gè)掛馬網(wǎng)站�,這些檢出掛馬網(wǎng)站的頂級(jí)域名所屬單位也幾乎囊括了目前國(guó)內(nèi)所有985及211高校����。
北大網(wǎng)站掛馬監(jiān)測(cè)平臺(tái)具有網(wǎng)頁(yè)木馬精確定位和掛馬鏈提取功能��,對(duì)于檢測(cè)到的掛馬網(wǎng)站��,能夠追溯網(wǎng)頁(yè)木馬URL鏈接及宿主站點(diǎn)�������;谶@些原始數(shù)據(jù)�����,我們對(duì)上半年教育網(wǎng)檢出的網(wǎng)頁(yè)木馬URL及宿主站點(diǎn)進(jìn)行統(tǒng)計(jì)分析��,從而嘗試尋找一些攻擊者構(gòu)建掛馬攻擊場(chǎng)景的技術(shù)規(guī)律���。
在平臺(tái)對(duì)1,248個(gè)掛馬網(wǎng)站的累計(jì)25,501次檢出結(jié)果中,這些掛馬網(wǎng)站最終裝載了位于744個(gè)宿主上的1,534個(gè)網(wǎng)頁(yè)木馬URL���,傳播網(wǎng)站數(shù)量最多的網(wǎng)頁(yè)木馬宿主站點(diǎn)如表2�����,最多的宿主站點(diǎn)o.lookforhosting.com上的網(wǎng)頁(yè)木馬鏈接在143個(gè)教育網(wǎng)網(wǎng)站中植入傳播���。表 3顯示了影響掛馬網(wǎng)站數(shù)量最多的網(wǎng)頁(yè)木馬宿主站點(diǎn)根域名��,以及在這些根域名上所發(fā)現(xiàn)的網(wǎng)頁(yè)木馬宿主站點(diǎn)數(shù)量���,從中可以看出大量網(wǎng)頁(yè)木馬宿主站點(diǎn)利用免費(fèi)域名服務(wù)申請(qǐng)的動(dòng)態(tài)域名進(jìn)行DNS解析,這說(shuō)明了國(guó)內(nèi)動(dòng)態(tài)域名服務(wù)尚存在被濫用的情況���,需對(duì)動(dòng)態(tài)域名注冊(cè)進(jìn)一步加強(qiáng)安全管理�。
圖4 教育網(wǎng)檢出掛馬網(wǎng)站數(shù)量和次數(shù)的頂級(jí)域名分布情況����。
在我們的監(jiān)測(cè)過(guò)程中發(fā)現(xiàn),檢出的掛馬網(wǎng)站在每輪監(jiān)測(cè)中提取到的網(wǎng)頁(yè)木馬URL鏈接和宿主站點(diǎn)具有高度的變化性��,73.1%的掛馬網(wǎng)站所掛接的網(wǎng)頁(yè)木馬URL宿主站點(diǎn)進(jìn)行了變化轉(zhuǎn)移���,每個(gè)掛馬網(wǎng)站平均對(duì)應(yīng)的網(wǎng)頁(yè)木馬宿主站點(diǎn)數(shù)竟達(dá)到了4.82��,這種高度變化性顯然是在對(duì)抗目前產(chǎn)業(yè)界和國(guó)家監(jiān)管部門普遍實(shí)施的黑名單域名和網(wǎng)址過(guò)濾機(jī)制��,也對(duì)有效應(yīng)對(duì)處置網(wǎng)站掛馬威脅提出了更高的挑戰(zhàn)��。
“極風(fēng)”和“極光”橫行網(wǎng)絡(luò)
目前北大網(wǎng)站掛馬監(jiān)測(cè)平臺(tái)主要仍采用動(dòng)態(tài)行為分析技術(shù)檢測(cè)和發(fā)現(xiàn)掛馬網(wǎng)站����,尚無(wú)法自動(dòng)化地分析出網(wǎng)頁(yè)木馬所利用的安全漏洞類型。為了進(jìn)一步完善平臺(tái)��,我們已經(jīng)在瀏覽器模塊間通訊劫持技術(shù)����、基于安全漏洞特征的網(wǎng)頁(yè)木馬檢測(cè)方法����、基于安全漏洞模擬的網(wǎng)頁(yè)木馬檢測(cè)方法等方面取得了技術(shù)突破,相關(guān)研究成果發(fā)表于AsiaCCS’10等知名國(guó)際會(huì)議上����,也將利用創(chuàng)新技術(shù)進(jìn)一步完善監(jiān)測(cè)業(yè)務(wù)平臺(tái)。
根據(jù)對(duì)固化保全的網(wǎng)頁(yè)木馬攻擊場(chǎng)景的人工輔助分析結(jié)果�,我們總結(jié)了2010年上半年檢出的網(wǎng)頁(yè)木馬所主要利用的安全漏洞和攻擊方式,網(wǎng)馬利用最為流行和普遍的漏洞莫屬IE瀏覽器中爆出的MS10-018(國(guó)內(nèi)又稱“極風(fēng)”)和MS10-002(“極光”)���,而2009年的MS09-043�、MS09-032,2008年的MS08-054�����、聯(lián)眾GLIEDown.IEDown.1控件多個(gè)緩沖區(qū)溢出漏洞��,2007年的RealPlayer IERPCtl.IERPCtl.1控件漏洞和“老的掉牙”的MS06-014漏洞仍頻頻出現(xiàn)在集成多個(gè)滲透攻擊代碼的網(wǎng)馬攻擊包中�����。
希望高校網(wǎng)絡(luò)安全管理人員能夠充分重視��,對(duì)相關(guān)網(wǎng)站進(jìn)行全面檢測(cè)和安全加固�,積極預(yù)防,盡量避免網(wǎng)站掛馬等安全事件的發(fā)生���。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
