挂马检测平台把脉网络安全事件
出处:51CTO.com 作者: 责任编辑:fumengjuan 发布日期:2013-01-25
被挂马网站囊括多数高校
2010年上半年,北大网站挂马监测平台累计检测到近400个教育网顶级域名下的1,248个网站被挂马,上半年挂马率为3.52%(即在上半年周期内,教育网内有3.52%比例的网站曾被检测出挂马)。每月在教育网中检出的挂马网站数量和月度的挂马率变化趋势如图 1所示,总体呈现快速增长趋势。2月份由于春节假期等因素挂马网站数量较少,进入3月份中下旬由于当时IE浏览器中爆出iepeers零日漏洞(又称为”极风”),以及攻击该漏洞的网马在黑客社区中广泛流传,3月份和4月份的教育网挂马网站数量成倍攀升,并在5月和6月高考高招临近期保持在高位状态,月度挂马率接近2%。
对于我们平台所检出的教育网挂马网站,我们也在检出后第一时间查询Google安全浏览(Google Safe Browsing)API接口,获取Google是否对这些网站进行恶意标注的结果。结果发现Google对平台检出的1,248个挂马网站,仅标注了295个,未标注比例达到了76.4%,而对每次检测的未标注比例则更是高达79.3%。该数据说明虽然Google安全浏览计划监测面很广,但对中国教育网的监测覆盖面尚不够充分。
北大挂马监测平台目前对教育网网站大约3天进行一轮全网站深度监测,而每轮监测到的挂马率变化情况如图 ,最高值为近0.7%,检出245个网站,最低值为0.02%。
在2010年上半年检出的1,248个挂马网站中,我们进一步对这些网站在平台每轮监测中检出次数和挂马检出的持续时间进行了统计,其分布如图 3所示。检出次数最多的达到25次,为某高校教育科学学院二级网站,平均检出次数为3.93;检出持续时间最长的132天,为某高校生物技术学院,在1月下旬检出后一直保持被挂马状态,持续被平台检出,平均挂马持续时间为23.2天。这说明教育网部分网站对挂马的检测和响应还远远不够主动和迅速,也使得挂马网站持续地对访问者构成安全威胁。
检出的1,248个挂马网站分布于401个教育网顶级域名(即大致分布于近400个高校和科研院所单位),检出挂马网站最多顶级域名(haue.edu.cn),从2月3日至6月5日,在该域名下持续有47个不同的网站被检出挂马,检出次数达到223次。 经分析,该高校网站大部分都建在同一IP的服务器上,且均采用了ASP动态页面建站,而被植入的网页木马也都属于同一渗透代码工具包(Exploit Kit)且宿主域名源于同一动态域名服务,因此可以推测该高校大量网站被挂马是同一攻击者(团伙)所为,通过攻入服务器,在不同虚拟主机目录的网页中插入恶意挂马链接,从而实施网站挂马攻击。在检出挂马网站的401个顶级域名中,平均每个域名下有3.02个挂马网站,这些检出挂马网站的顶级域名所属单位也几乎囊括了目前国内所有985及211高校。
北大网站挂马监测平台具有网页木马精确定位和挂马链提取功能,对于检测到的挂马网站,能够追溯网页木马URL链接及宿主站点。基于这些原始数据,我们对上半年教育网检出的网页木马URL及宿主站点进行统计分析,从而尝试寻找一些攻击者构建挂马攻击场景的技术规律。
在平台对1,248个挂马网站的累计25,501次检出结果中,这些挂马网站最终装载了位于744个宿主上的1,534个网页木马URL,传播网站数量最多的网页木马宿主站点如表2,最多的宿主站点o.lookforhosting.com上的网页木马链接在143个教育网网站中植入传播。表 3显示了影响挂马网站数量最多的网页木马宿主站点根域名,以及在这些根域名上所发现的网页木马宿主站点数量,从中可以看出大量网页木马宿主站点利用免费域名服务申请的动态域名进行DNS解析,这说明了国内动态域名服务尚存在被滥用的情况,需对动态域名注册进一步加强安全管理。
在我们的监测过程中发现,检出的挂马网站在每轮监测中提取到的网页木马URL链接和宿主站点具有高度的变化性,73.1%的挂马网站所挂接的网页木马URL宿主站点进行了变化转移,每个挂马网站平均对应的网页木马宿主站点数竟达到了4.82,这种高度变化性显然是在对抗目前产业界和国家监管部门普遍实施的黑名单域名和网址过滤机制,也对有效应对处置网站挂马威胁提出了更高的挑战。
“极风”和“极光”横行网络
目前北大网站挂马监测平台主要仍采用动态行为分析技术检测和发现挂马网站,尚无法自动化地分析出网页木马所利用的安全漏洞类型。为了进一步完善平台,我们已经在浏览器模块间通讯劫持技术、基于安全漏洞特征的网页木马检测方法、基于安全漏洞模拟的网页木马检测方法等方面取得了技术突破,相关研究成果发表于AsiaCCS’10等知名国际会议上,也将利用创新技术进一步完善监测业务平台。
根据对固化保全的网页木马攻击场景的人工辅助分析结果,我们总结了2010年上半年检出的网页木马所主要利用的安全漏洞和攻击方式,网马利用最为流行和普遍的漏洞莫属IE浏览器中爆出的MS10-018(国内又称“极风”)和MS10-002(“极光”),而2009年的MS09-043、MS09-032,2008年的MS08-054、联众GLIEDown.IEDown.1控件多个缓冲区溢出漏洞,2007年的RealPlayer IERPCtl.IERPCtl.1控件漏洞和“老的掉牙”的MS06-014漏洞仍频频出现在集成多个渗透攻击代码的网马攻击包中。
注:评论审核后才能被公开。
相关文章
- [网络技术] 中国网络安全行业运... 2020-01-16
- [商业·网络] 警惕:全球30万路... 2014-03-06
- [社会百态] 42岁农妇冒充少女... 2014-02-28
- [商业·网络] 一初中毕业生把In... 2014-02-28
- [社会百态] 西南石油大学“炒饭... 2013-09-26
- [安全防护] 网络安全“把关者”... 2013-05-07
- [网络技术] 网络安全基础知识浅... 2013-02-25
最新更新
- [促销讯息] 易搜《福建IT行业... 2023-04-21
- [促销讯息] 易搜《安徽IT行业... 2023-04-21
- [促销讯息] 易搜《云南IT行业... 2023-04-21
- [促销讯息] 易搜《福建IT行业... 2023-04-21
- [美容养生] 口腔溃疡的起因不止... 2023-03-29
- [职场入门] 终面技巧丨明明聊得... 2023-03-29
- [职场入门] 应届生离职原因大公... 2023-03-29
- [职场入门] 简历上什么都写只会... 2023-03-29
- [美容养生] 肝脏是否健康,可以... 2023-03-29
- [手机·数码] 8分钟即可充满!传... 2023-03-10
- [职场入门] 关于五险一金,这些... 2023-03-10
- [职场入门] 如何应对校招中的性... 2023-03-10
- [市场动态] 济宁市三项目获省良... 2023-03-10
- [美容养生] 每天总会喝两杯的人... 2023-03-10
- [美容养生] 膳食纤维素益生元功... 2023-03-07
热门点击
- [热点访谈] 易搜《山东IT行业... 2014-04-01
- [名人传记] 董事会该如何订定高... 2014-12-08
- [促销讯息] 易搜《江西IT行业... 2014-07-15
- [促销讯息] 易搜《河南IT行业... 2014-10-24
- [促销讯息] 易搜《福建IT行业... 2014-07-02
- [热点访谈] 易搜《湖南IT行业... 2014-10-18
- [促销讯息] 易搜《四川IT行业... 2014-11-27
- [促销讯息] 看过来看过来!关注... 2014-09-10
- [爆笑囧图] 00年代我们追过的... 2014-09-28
- [热点访谈] 易搜《浙江IT通讯... 2015-01-30
- [手机·数码] 为年终蓄力 十月份... 2013-10-28
- [市场动态] 互联网电视“赛马”... 2013-09-16
- [桌面壁纸] 性感古装美女,亮瞎... 2014-09-16
- [热点访谈] 易搜《浙江IT行业... 2014-08-24
- [热点访谈] 2015年,100... 2015-03-25
评论列表