第一篇：惠州政府網(wǎng)掛馬分析報(bào)告

惠州政府網(wǎng)掛馬分析報(bào)告

超級(jí)巡警安全中心檢測(cè)到官方網(wǎng)站中國惠山網(wǎng)被掛馬，黑客利用CVE-2011-0609的漏洞（根據(jù)分析，發(fā)現(xiàn)還有另一個(gè)網(wǎng)馬地址，可是地址已經(jīng)失效），對(duì)瀏覽網(wǎng)頁的用戶進(jìn)行攻擊。一旦攻擊成功，黑客將獲得該用戶系統(tǒng)的完全控制權(quán)。

二、掛馬分析

[root] hxxp://

[iframe] hxxp://（已失效）

[iframe] hxxp://（CVE-2011-0609）

[exe] hxxp://x5978.3322.org/xz/1.exe

三．漏洞描述

這個(gè)漏洞存在于以下平臺(tái)版本：Windows、Mac、Linux和Solaris平臺(tái)最新Adobe Flash Player 10.2.152.33版本以及更早版本,Chrome谷歌瀏覽版Flash Player10.2.154.18以及更早版本；Android版Flash Player 10.1.106.16及更早版本；Windows和Mac平臺(tái)包含authplayl.dll組件的Adobe Reader/Acrobat X（10.0.1）及更早版本。

下圖為被掛馬也網(wǎng)馬頁地址（圖一）及解密后的內(nèi)容（圖二）： 圖一 圖二

四、病毒分析

病毒相關(guān)分析： 病毒標(biāo)簽：

病毒名稱：Trojan-GameThief.Win32.Magania.efrt

病毒別名：

病毒類型： 盜號(hào)木馬

危害級(jí)別：4

感染平臺(tái)：Windows

病毒大小： 23,952 bytes

SHA1 : 8c6234b6bbdd7db541d7f81ca259d7ca67a7dbda

加殼類型：偽裝UPX殼

開發(fā)工具： Delph

病毒行為：

1)釋放病毒副本：

釋放31009125n31.dll到%Temp%下；(n31前的數(shù)字為隨機(jī)數(shù)字)

釋放30680437n31.dll 到%Temp%下并設(shè)置系統(tǒng),隱藏屬性；(n31前的數(shù)字為隨機(jī)數(shù)字)

釋放ctfmon.exe 到%SystemRoot%下；

2)遍歷以下進(jìn)程，并結(jié)束他們來進(jìn)行自我隱藏：

360rp.exe,360sd.exe,360tray.exe,avp.exe,ravmond.exe

3)遍歷以下QQ西游的主進(jìn)程，以便游戲重啟時(shí)截獲用戶賬號(hào)密碼：

QQ西游.exe,qy.exe,qqlogin.exe

4）安裝全局消息鉤子，截獲鍵盤消息

ctfmon.exe HOOK WM_GETMESSAGE

5)進(jìn)行網(wǎng)絡(luò)通信，將獲取到得賬號(hào)發(fā)送出去。

6）刪除自身。

五．事件總結(jié)：

分析發(fā)現(xiàn)，這次對(duì)中國惠山的攻擊與往常其他擁有大量用戶的網(wǎng)站掛馬情況類似，在某個(gè)廣告頁面被ARP攻擊。通過分析病毒行為發(fā)現(xiàn)這個(gè)是個(gè)專門針對(duì)QQ西游游戲的盜號(hào)木馬，即便有密保用戶也會(huì)中招。針對(duì)近期出現(xiàn)大量攻擊政府網(wǎng)站掛馬的行為，希望大家及時(shí)更新殺毒軟件病毒庫，并及時(shí)安裝軟件補(bǔ)丁包防范于未然。

目前暢游精靈已經(jīng)可以完美攔截該網(wǎng)馬的攻擊，超級(jí)巡警云查殺可以有效識(shí)別該木馬。超級(jí)巡警安全中心提醒用戶安裝暢游精靈和超級(jí)巡警對(duì)木馬進(jìn)行有效的攔截。對(duì)于已經(jīng)中毒的用戶，巡警安全中心建議您立刻使用超級(jí)巡警云查殺進(jìn)行有效的木馬查殺，以此保證自己的系統(tǒng)的安全。

第二篇：2010年上半年教育網(wǎng)網(wǎng)站掛馬監(jiān)測(cè)報(bào)告

2010年上半年教育網(wǎng)網(wǎng)站掛馬監(jiān)測(cè)分析報(bào)告

北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室，中國教育和科研網(wǎng)緊急響應(yīng)組，中國教育網(wǎng)體檢中心

2010年7月

網(wǎng)站掛馬近年來一直是國內(nèi)互聯(lián)網(wǎng)安全最嚴(yán)重的安全威脅之一，也對(duì)教育網(wǎng)網(wǎng)站構(gòu)成了 現(xiàn)實(shí)普遍的危害。隨著高考招生拉開帷幕，教育網(wǎng)網(wǎng)站，特別是高招網(wǎng)站，將成為廣大考生 和家長頻繁瀏覽的熱門站點(diǎn)，也不可避免地成為惡意攻擊者的關(guān)注目標(biāo)。

北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室(ercis.icst.pku.edu.cn)于去年完成了網(wǎng)站掛馬監(jiān)測(cè)平臺(tái) 系統(tǒng)的研發(fā)，通過與中國教育網(wǎng)體檢中心(頁面。

圖 14 224ay.htm網(wǎng)頁木馬攻擊分發(fā)頁面，包含反病毒軟件識(shí)別機(jī)制

通過對(duì)iie.swf和fff.swf Flash文件的手工分析，我們發(fā)現(xiàn)該Flash文件是通過ActionScript 中判斷Flash Player版本，并利用LoadMovie()函數(shù)進(jìn)一步裝載滲透攻擊頁面，但在我們固化

保全過程中，該頁面已失效。av.htm頁面內(nèi)容如圖 15，首先根據(jù)是否IE7，分別裝載6.htm 和7.htm，并進(jìn)一步輸出nod.htm、real.htm和rising.htm。

圖 15 av.htm網(wǎng)頁木馬攻擊二級(jí)分發(fā)頁面

6.htm頁面內(nèi)容如圖 16，在頁面中還通過SCRIPT外鏈引入了mp.js(頁面內(nèi)容如圖 17)，經(jīng)過分析可知6.htm是未經(jīng)混淆的“極風(fēng)”漏洞滲透攻擊代碼，而所引入mp.js中的內(nèi)容則 包含了一個(gè)用于對(duì)抗目前一些模擬分析環(huán)境（如開源的PHoneyC等）中應(yīng)用的ActiceX控件 模擬機(jī)制的小伎倆，試圖創(chuàng)建一個(gè)在系統(tǒng)中肯定不存在的“be”控件，而如果客戶端環(huán)境告 知能夠創(chuàng)建成功，則必然客戶端環(huán)境中采用了ActiveX控件模擬機(jī)制（目前實(shí)現(xiàn)一般是對(duì)所 有環(huán)境中不存在ActiveX控件都返回創(chuàng)建成功的模擬對(duì)象，然后試圖劫持獲取進(jìn)一步的方法 調(diào)用和/或動(dòng)態(tài)輸出頁面鏈接），而該段代碼在創(chuàng)建不成功時(shí)才輸出后面代碼所依賴的一些變 量定義，如此，實(shí)現(xiàn)了ActiveX控件模擬機(jī)制的環(huán)境則無法正確地動(dòng)態(tài)執(zhí)行代碼，從而對(duì)該 網(wǎng)馬實(shí)施有效檢測(cè)。

圖 16 6.htm頁面內(nèi)容，分析可知是未進(jìn)行混淆的“極風(fēng)”漏洞滲透攻擊代碼

圖 17 6.htm頁面中包含mp.js內(nèi)容，包含了對(duì)抗模擬插件機(jī)制

rising.htm頁面及之后裝載的ofnt.htm，以及ofnt.htm頁面中包含的SCRIPT外鏈oopk.jpg 及uug.jpg的頁面內(nèi)容構(gòu)成了對(duì)Office Web組件OWC10.SpreadSheet中內(nèi)存破壞安全漏洞(MS09-043)的滲透攻擊代碼，代碼采用了SetTimeout()函數(shù)延遲輸出鏈接、將Script文件偽

裝JPEG圖片文件、通過復(fù)雜字符串計(jì)算組裝Shellcode和ActiveX控件名稱等技術(shù)手段，以 提升分析的難度。

圖 18 rising.htm頁面內(nèi)容，嘗試創(chuàng)建OWC10.Spreadsheet控件，并裝載ofnt.htm頁面

圖 19 ofnt.htm頁面內(nèi)容，包含oopk.jpg和uug.jpg兩段外鏈腳本

圖 20 oopk.jpg頁面中的Script代碼，定義Shellcode等變量

圖 21 uug.jpg頁面中的Script代碼，定義一些關(guān)鍵變量，并進(jìn)行了混淆處理

該場(chǎng)景中還包括了針對(duì)聯(lián)眾GLIEDown.IEDown.1控件緩沖區(qū)溢出漏洞（BID: 29118,29446）的滲透攻擊頁面(nod.htm及l(fā)z.htm)，以及針對(duì)Real Player軟件IERPCtl.IERPCtl.1控件中緩沖

區(qū)溢出漏洞(CVE-2007-5601)的滲透攻擊頁面(real.htm及myra.htm)。

通過上述兩個(gè)今年上半年在教育網(wǎng)網(wǎng)站上流行的網(wǎng)頁木馬攻擊場(chǎng)景案例分析，我們可以 總結(jié)出目前網(wǎng)頁木馬攻擊者已引入大量的技術(shù)手段和伎倆在和研究團(tuán)隊(duì)、產(chǎn)業(yè)界及政府相關(guān) 監(jiān)管部門進(jìn)行對(duì)抗，以躲避檢測(cè)，并提升分析追蹤的難度。對(duì)網(wǎng)頁木馬的監(jiān)測(cè)與分析技術(shù)發(fā) 展、平臺(tái)建設(shè)和相應(yīng)的應(yīng)急響應(yīng)處置流程還需要持續(xù)地改進(jìn)和完善，才能夠有效地應(yīng)對(duì)和處 置網(wǎng)頁木馬這種流行的安全威脅形態(tài)。

5.總結(jié)

北京大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室、中國教育和科研網(wǎng)緊急響應(yīng)組(CCERT)、中國教育網(wǎng) 體檢中心合作開展對(duì)教育網(wǎng)中的網(wǎng)站掛馬情況進(jìn)行全網(wǎng)檢測(cè)和態(tài)勢(shì)分析，并為中國教育網(wǎng)體 檢中心(004km.cn)。通過2010年上半年教育網(wǎng)掛馬監(jiān)測(cè)數(shù)據(jù)結(jié)果分析，共檢出來自425 個(gè)頂級(jí)域名的1,347個(gè)網(wǎng)站被掛馬，上半年網(wǎng)站掛馬率達(dá)到3.88%，這說明教育網(wǎng)網(wǎng)站的安 全狀況仍不容樂觀。希望高校網(wǎng)絡(luò)安全管理部門和人員能夠充分重視，對(duì)相關(guān)網(wǎng)站進(jìn)行全面 檢測(cè)和安全加固，積極預(yù)防，盡量避免網(wǎng)站掛馬等安全事件的發(fā)生。

第三篇：解析網(wǎng)頁后門與網(wǎng)頁掛馬原理

解析網(wǎng)頁后門與網(wǎng)頁掛馬原理

轉(zhuǎn)自 IT168

網(wǎng)站被掛馬，被植入后門，這是管理員們無論如何都無法忍受的。Web服務(wù)器被攻克不算，還“城門失火殃及池魚”，網(wǎng)站的瀏覽者也不能幸免。這無論是對(duì)企業(yè)的信譽(yù)，還是對(duì)管理員的技術(shù)能力都是沉重的打擊。下面筆者結(jié)合實(shí)例對(duì)網(wǎng)頁后門及其網(wǎng)頁掛馬的技術(shù)進(jìn)行解析，知己知彼，拒絕攻擊。

一、前置知識(shí)

網(wǎng)頁后門其實(shí)就是一段網(wǎng)頁代碼，主要以ASP和PHP代碼為主。由于這些代碼都運(yùn)行在服務(wù)器端，攻擊者通過這段精心設(shè)計(jì)的代碼，在服務(wù)器端進(jìn)行某些危險(xiǎn)的操作，獲得某些敏感的技術(shù)信息或者通過滲透，提權(quán)獲得服務(wù)器的控制權(quán)。并且這也是攻擊者控制服務(wù)器的一條通道，比一般的入侵更具有隱蔽性。

網(wǎng)頁掛馬就是攻擊者通過在正常的頁面中(通常是網(wǎng)站的主頁)插入一段代碼。瀏覽者在打開該頁面的時(shí)候，這段代碼被執(zhí)行，然后下載并運(yùn)行某木馬的服務(wù)器端程序，進(jìn)而控制瀏覽者的主機(jī)。

二、網(wǎng)頁掛馬的類型

1、框架嵌入式網(wǎng)絡(luò)掛馬

網(wǎng)頁木馬被攻擊者利用iframe語句，加載到任意網(wǎng)頁中都可執(zhí)行的掛馬形式，是最早也是最有效的的一種網(wǎng)絡(luò)掛馬技術(shù)。通常的掛馬代碼如下：