公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

黑產(chǎn)對抗監(jiān)測：暗鏈植入系列之會自動“繁殖”的寄生蟲病毒，萬余網(wǎng)站遭受攻擊

閱讀量：次

點擊藍字關(guān)注我們

黑產(chǎn)對抗監(jiān)測：暗鏈植入系列之會自動“繁殖”的寄生蟲病毒，萬余網(wǎng)站遭受攻擊

序言

? ? ?安恒信息中央研究院零壹實驗室持續(xù)監(jiān)測暗鏈植入事件，針對一種被稱為“寄生蟲”并以腳本文件形式存在的病毒文件進行了分析，與DLL病毒不同（詳見《黑產(chǎn)對抗監(jiān)測：全局暗鏈植入！對IIS劫持進行暗鏈植入的病毒樣本分析》），寄生蟲病毒雖無法進行全局劫持，但其具備的自我繁殖特性卻能自動地在短時間內(nèi)為黑灰產(chǎn)劫持到大量流量，更為嚴重的是，它意味著網(wǎng)站已經(jīng)被攻陷，淪為了黑灰產(chǎn)的肉雞，病毒中攜帶的后門可以讓黑灰產(chǎn)在失陷的主機上肆意妄為，對網(wǎng)絡空間造成極大的威脅。

? ? ? 第72屆戛納電影節(jié)金棕櫚獎最佳影片《寄生蟲》描述了全是無業(yè)游民的一家四口人，通過欺騙的方式寄宿在富豪樸社長家并最終導致了“宿主”樸社長的死亡。而在網(wǎng)絡世界，同樣存在著“寄生”在高權(quán)重網(wǎng)站上并吸取其流量作為“營養(yǎng)”，繼而提升非法關(guān)鍵詞(網(wǎng)站)在搜索引擎中排名的暗鏈病毒——寄生蟲程序。

? ? ?如生物界的寄生蟲一樣，該種病毒往往會通過webshell進入一個高權(quán)重的網(wǎng)站，并在里面“繁殖”出大量包含非法關(guān)鍵詞及鏈接的頁面，借助這個網(wǎng)站在搜索引擎中的高權(quán)重達到快速排名的效果，而“宿主”網(wǎng)站在不知情的情況下給黑產(chǎn)“借了東風”。據(jù)安恒信息中央研究院零壹實驗室的暗鏈監(jiān)測結(jié)果顯示，僅上半年，就有近400個重點網(wǎng)站(政府、事業(yè)單位網(wǎng)站)、萬余個高權(quán)重企業(yè)網(wǎng)站遭受寄生蟲病毒攻擊。

圖1?某事業(yè)單位遭受寄生蟲病毒攻擊，

產(chǎn)生大量博彩頁面

你的流量是我的了——流量劫持原理

圖2 寄生蟲程序運行流程

? ? ?動態(tài)寄生蟲程序的運行流程如圖2所示，分為服務端和客戶端，其中客戶端程序通過webshell、文件上傳漏洞等方式進入失陷網(wǎng)站，只有一個腳本文件，當客戶端有訪問請求時，它會進行請求判斷，如果達成特定條件（詳見客戶端源碼詳解）便會與服務端進行通信，并呈現(xiàn)服務端的返回內(nèi)容；服務端通常包含寄生蟲網(wǎng)頁模板、非法關(guān)鍵詞庫、新聞內(nèi)容庫及失陷網(wǎng)站庫，服務端會組建寄生蟲頁面并進行返回（詳見服務端源碼詳解）。

? ? ? 作為一種黑帽SEO手段，寄生蟲程序會利用搜索引擎算法的漏洞，使用作弊手段，達到關(guān)鍵詞收錄、網(wǎng)頁提權(quán)的目的。每次搜索引擎訪問時，便會在失陷網(wǎng)站下自動生成大量的寄生蟲網(wǎng)頁，這些寄生蟲網(wǎng)頁里具備以下特點：

充斥著大量非法關(guān)鍵詞，其目的是利用失陷網(wǎng)站在搜索引擎中的先驗高權(quán)重使得這些關(guān)鍵詞被搜索引擎快速收錄。這些文本通常出現(xiàn)在網(wǎng)頁的title、keywords、description（TKD）位置——這些位置為搜索引擎判斷網(wǎng)頁內(nèi)容主題的主要來源。

圖3 寄生蟲頁面的TKD出現(xiàn)混淆后的關(guān)鍵詞

網(wǎng)頁包含大量輪鏈——一種鏈接到其他失陷網(wǎng)站寄生蟲頁面的結(jié)構(gòu)，其目的是利用搜索引擎爬蟲會爬取頁面中外鏈的特性讓爬蟲去訪問其他的失陷站點，而上文提到每次訪問時，病毒又會產(chǎn)生大量寄生蟲頁面，最終搜索引擎爬蟲會在茫茫失陷站點群中不停地來回訪問，而這些寄生蟲頁面就會被搜索引擎快速收錄。

圖4 寄生蟲頁面中包含大量輪鏈

找不到的頁面——動態(tài)寄生蟲

? ? ? 寄生蟲病毒分為靜態(tài)和動態(tài)寄生蟲，它們的區(qū)別在于靜態(tài)寄生蟲會在失陷網(wǎng)站下生成寄生蟲頁面，多為“.html”結(jié)尾的靜態(tài)資源，容易引起網(wǎng)站管理員的警覺，且相對而言繁殖數(shù)量有限；動態(tài)寄生蟲真正意義上實現(xiàn)了無限“繁殖”，通過一個以PHP或ASP結(jié)尾的動態(tài)文件，虛擬繁殖出成千上萬的頁面文件，除去病毒本身外并不會在網(wǎng)站本地留下其他文件痕跡，成為當前暗鏈植入的主流病毒，因此本文后續(xù)聚焦動態(tài)寄生蟲進行源碼剖析。

? ? ? ?表1 靜態(tài)、動態(tài)寄生蟲病毒對比表

	隱蔽性	繁殖數(shù)量	繁殖文件類型
靜態(tài)寄生蟲	低	有限	Html靜態(tài)文件
動態(tài)寄生蟲	高	無限	虛擬繁殖的動態(tài)文件

揭開寄生蟲的面目——病毒代碼分析

? ? ? 安恒信息零壹實驗室按照發(fā)現(xiàn)的時間縱向?qū)Ρ确治隽瞬《驹创a，結(jié)合最新監(jiān)測檢出的失陷網(wǎng)站特征，對動態(tài)寄生蟲程序進行了總結(jié)歸納。

客戶端代碼詳解

? ? ? 客戶端的作用主要是偽裝、鑒權(quán)并向服務端發(fā)起通信，我們總結(jié)了目前見到的病毒功能（詳見表2），并以PHP病毒為例，選取其中有代表性的3個樣本進行介紹。

? ? ? ?表2 客戶端病毒樣本功能匯總表

	功能
	來源判斷	搜索引擎判斷	后門	防刪除	路徑判斷
樣本一	×	√	×	×	×
樣本二	√	√	√	×	×
樣本三	√	√	×	√	√

樣本一

? ? ? 樣本一會對訪問對象進行判斷，具備一定隱蔽性，若為正常訪客訪問則不顯示寄生蟲頁面；若訪問對象是搜索引擎，則會構(gòu)造UA為” aQ0O010O”的訪問體并向服務端發(fā)起訪問。

圖5 客戶端樣本一的部分源碼

樣本二

? ? ? 樣本二不但實現(xiàn)了搜索引擎判斷，還對訪問來源進行判斷，當訪客通過搜索引擎的搜索結(jié)果訪問該網(wǎng)頁時會顯示寄生蟲頁面，而寄生蟲頁面會利用搜索引擎爬蟲不加載js的特性，通過js加載iframe標簽的方法展示出非法頁面。除此之外，樣本二還植入了一個后門，通過HTTP報文中的特定字段鑒權(quán)，可用于后續(xù)病毒更新、接收服務端指令等。

圖6 來源判斷代碼

圖7 后門代碼

樣本三

? ? ? 樣本三除來源判斷和搜索引擎判斷外，還會判斷訪問路徑中是否帶有特定字符串，只有帶有特定字符串如”. psd”的訪問才會返回寄生蟲界面，一定程度上增加了病毒的隱蔽性。

圖8 特定字符串判斷代碼

? ? ? 除此之外，樣本三還會針對參數(shù)進行判斷，具體特征為訪問不帶參數(shù)時，僅返回輪鏈，訪問攜帶參數(shù)時，返回寄生蟲頁面，這樣只需利用一定辦法（如蜘蛛池）讓搜索引擎爬蟲訪問一次客戶端程序，如”www.victim.com/virus.php”，便可讓爬蟲自動地爬取繁殖出的頁面。

圖9 樣本三參數(shù)判斷頁面

? ? ? 樣本三還兼具一定的防刪除功能，利用php可以執(zhí)行系統(tǒng)命令的特性將病毒本身修改為只讀。

圖10 防刪除功能代碼

服務端代碼詳解

? ? ? 服務端的功能為制作寄生蟲頁面，各樣本間的功能大同小異，以其中一個樣本為例，其主要文件構(gòu)造及作用如表3所示。

? ? ? ?表3 靜態(tài)、動態(tài)寄生蟲病毒對比表

文件名稱	作用
index.php	程序總?cè)肟?
mb.html	模板頁面，需要替代的文本/鏈接帶{}
lunlian.txt	存放失陷網(wǎng)站的客戶端鏈接，用于制作輪鏈
keyword.txt	存放非法關(guān)鍵詞
content.txt	存放新聞或小說等正常文本，用于欺騙搜索引擎

? ? ? 服務端的運行如圖9所示，以一個靜態(tài)網(wǎng)頁源碼為模板，將需要收錄的黑詞和輪鏈植入，并利用新聞、小說等近期搜索率較高的文本讓搜索引擎誤認為這是個包含高質(zhì)量內(nèi)容的正常網(wǎng)頁。

圖11 服務端運行流程

? ? ? 為了自動化地更新新聞文本，每當客戶端發(fā)起一次訪問，服務端會從隨機從中國新聞網(wǎng)爬取最新的新聞，代碼如圖10所示。

圖12 實時新聞采集代碼

只是暗鏈？——歡迎聯(lián)系我們

? ? ? “寄生蟲”不?！盁o縫”的網(wǎng)站，病毒往往都過后門進入失陷網(wǎng)站，切不可輕視暗鏈植入的情況，單純地刪除暗鏈頁面或病毒是不夠的，不徹底清除網(wǎng)站的后門可能會使網(wǎng)站再次掛鏈。零壹實驗室在監(jiān)測中發(fā)現(xiàn)，某高校學報網(wǎng)站于2022年5月13日被檢出存在暗鏈植入情況，并于6月份修復了這一暗鏈網(wǎng)頁。但由于可能并未對網(wǎng)站后門進行修復，該網(wǎng)站在2022年9月2日再次被掛上了博彩網(wǎng)站的暗鏈。

圖13 浙江某高校學報兩次被掛鏈

? ? ? 另外，在暗鏈監(jiān)測過程中，零壹實驗室發(fā)現(xiàn)，黑產(chǎn)進行暗鏈植入的方式和手法呈現(xiàn)多元化和對抗性，寄生蟲程序從靜態(tài)到動態(tài)的進化就是一個例子。為了避免網(wǎng)站被植入寄生蟲病毒，需定期對網(wǎng)站下資產(chǎn)進行掃描、檢測，尤其注意更新日期較近的PHP、ASPX文件。當然，與防治所有的暗鏈事件一樣，網(wǎng)站的漏洞防護才是治本之策，如發(fā)現(xiàn)服務器存在暗鏈植入情況但經(jīng)排查仍無法解決，歡迎聯(lián)系我們400-6059110。