掛馬檢測平臺把脈網絡安全事件

被掛馬網站囊括多數高校

2010年上半年，北大網站掛馬監測平臺累計檢測到近400個教育網頂級域名下的1,248個網站被掛馬，上半年掛馬率為3.52%（即在上半年周期內，教育網內有3.52%比例的網站曾被檢測出掛馬）。每月在教育網中檢出的掛馬網站數量和月度的掛馬率變化趨勢如圖 1所示，總體呈現快速增長趨勢。2月份由于春節假期等因素掛馬網站數量較少，進入3月份中下旬由于當時IE瀏覽器中爆出iepeers零日漏洞（又稱為”極風”），以及攻擊該漏洞的網馬在黑客社區中廣泛流傳，3月份和4月份的教育網掛馬網站數量成倍攀升，并在5月和6月高考高招臨近期保持在高位狀態，月度掛馬率接近2%。

圖1 2010年上半年教育網網站掛馬數量和月度掛馬率統計

對于我們平臺所檢出的教育網掛馬網站，我們也在檢出后第一時間查詢Google安全瀏覽(Google Safe Browsing)API接口，獲取Google是否對這些網站進行惡意標注的結果。結果發現Google對平臺檢出的1,248個掛馬網站，僅標注了295個，未標注比例達到了76.4%，而對每次檢測的未標注比例則更是高達79.3%。該數據說明雖然Google安全瀏覽計劃監測面很廣，但對中國教育網的監測覆蓋面尚不夠充分。

北大掛馬監測平臺目前對教育網網站大約3天進行一輪全網站深度監測，而每輪監測到的掛馬率變化情況如圖 2，最高值為近0.7%，檢出245個網站，最低值為0.02%。

圖2 2010年上半年教育網網站每輪監測掛馬率

在2010年上半年檢出的1,248個掛馬網站中，我們進一步對這些網站在平臺每輪監測中檢出次數和掛馬檢出的持續時間進行了統計，其分布如圖 3所示。檢出次數最多的達到25次，為某高校教育科學學院二級網站，平均檢出次數為3.93；檢出持續時間最長的132天，為某高校生物技術學院，在1月下旬檢出后一直保持被掛馬狀態，持續被平臺檢出，平均掛馬持續時間為23.2天。這說明教育網部分網站對掛馬的檢測和響應還遠遠不夠主動和迅速，也使得掛馬網站持續地對訪問者構成安全威脅。

圖3 2010年上半年教育網掛馬網站檢出次數和掛馬持續時間分布

檢出的1,248個掛馬網站分布于401個教育網頂級域名（即大致分布于近400個高校和科研院所單位），檢出掛馬網站最多頂級域名（haue.edu.cn），從2月3日至6月5日，在該域名下持續有47個不同的網站被檢出掛馬，檢出次數達到223次。

經分析，該高校網站大部分都建在同一IP的服務器上，且均采用了ASP動態頁面建站，而被植入的網頁木馬也都屬于同一滲透代碼工具包(Exploit Kit)且宿主域名源于同一動態域名服務，因此可以推測該高校大量網站被掛馬是同一攻擊者(團伙)所為，通過攻入服務器，在不同虛擬主機目錄的網頁中插入惡意掛馬鏈接，從而實施網站掛馬攻擊。在檢出掛馬網站的401個頂級域名中，平均每個域名下有3.02個掛馬網站，這些檢出掛馬網站的頂級域名所屬單位也幾乎囊括了目前國內所有985及211高校。  

北大網站掛馬監測平臺具有網頁木馬精確定位和掛馬鏈提取功能，對于檢測到的掛馬網站，能夠追溯網頁木馬URL鏈接及宿主站點。基于這些原始數據，我們對上半年教育網檢出的網頁木馬URL及宿主站點進行統計分析，從而嘗試尋找一些攻擊者構建掛馬攻擊場景的技術規律。

在平臺對1,248個掛馬網站的累計25,501次檢出結果中，這些掛馬網站最終裝載了位于744個宿主上的1,534個網頁木馬URL，傳播網站數量最多的網頁木馬宿主站點如表2，最多的宿主站點o.lookforhosting.com上的網頁木馬鏈接在143個教育網網站中植入傳播。表 3顯示了影響掛馬網站數量最多的網頁木馬宿主站點根域名，以及在這些根域名上所發現的網頁木馬宿主站點數量，從中可以看出大量網頁木馬宿主站點利用免費域名服務申請的動態域名進行DNS解析，這說明了國內動態域名服務尚存在被濫用的情況，需對動態域名注冊進一步加強安全管理。

圖4 教育網檢出掛馬網站數量和次數的頂級域名分布情況。

在我們的監測過程中發現，檢出的掛馬網站在每輪監測中提取到的網頁木馬URL鏈接和宿主站點具有高度的變化性，73.1%的掛馬網站所掛接的網頁木馬URL宿主站點進行了變化轉移，每個掛馬網站平均對應的網頁木馬宿主站點數竟達到了4.82，這種高度變化性顯然是在對抗目前產業界和國家監管部門普遍實施的黑名單域名和網址過濾機制，也對有效應對處置網站掛馬威脅提出了更高的挑戰。

“極風”和“極光”橫行網絡

目前北大網站掛馬監測平臺主要仍采用動態行為分析技術檢測和發現掛馬網站，尚無法自動化地分析出網頁木馬所利用的安全漏洞類型。為了進一步完善平臺，我們已經在瀏覽器模塊間通訊劫持技術、基于安全漏洞特征的網頁木馬檢測方法、基于安全漏洞模擬的網頁木馬檢測方法等方面取得了技術突破，相關研究成果發表于AsiaCCS’10等知名國際會議上，也將利用創新技術進一步完善監測業務平臺。

根據對固化保全的網頁木馬攻擊場景的人工輔助分析結果，我們總結了2010年上半年檢出的網頁木馬所主要利用的安全漏洞和攻擊方式，網馬利用最為流行和普遍的漏洞莫屬IE瀏覽器中爆出的MS10-018（國內又稱“極風”）和MS10-002（“極光”），而2009年的MS09-043、MS09-032，2008年的MS08-054、聯眾GLIEDown.IEDown.1控件多個緩沖區溢出漏洞，2007年的RealPlayer IERPCtl.IERPCtl.1控件漏洞和“老的掉牙”的MS06-014漏洞仍頻頻出現在集成多個滲透攻擊代碼的網馬攻擊包中。

希望高校網絡安全管理人員能夠充分重視，對相關網站進行全面檢測和安全加固，積極預防，盡量避免網站掛馬等安全事件的發生。 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]