2010年上半年教育網網站掛馬監測分析報告出爐掛馬率劇增挑戰校園網

通過2010年上半年教育網掛馬監測數據結果分析，425個頂級域名的1,347個網站被掛馬，上半年網站掛馬率達到3.88%，這說明教育網網站的安全狀況仍不容樂觀。

網站掛馬近年來一直是國內互聯網最嚴重的安全威脅之一，也對教育網網站構成了現實的普遍危害。隨著高考招生拉開帷幕，教育網網站，特別是高招網站，成為廣大考生和家長頻繁瀏覽的熱門站點，也不可避免地成為惡意攻擊者的關注目標。

北京大學網絡與信息安全實驗室(ercis.icst.pku.edu.cn)于去年完成了網站掛馬監測平臺系統的研發，通過與中國教育網體檢中心(www.nhcc.edu.cn)、中國教育和科研網緊急響應組（www.ccert.edu.cn）合作，在中國教育網體檢中心向教育網網站提供公益性的網站掛馬監測服務。從今年1月份開始，該系統對教育網上可公開訪問的3.5萬多個網站進行周期性的持續監測，上半年累計檢測到425個教育網頂級域名下的1,374個網站被掛馬，且在高考高招期間呈現快速增長趨勢。報告通過對上半年教育網網站掛馬監測數據的全面分析，并結合典型案例分析，展示網站掛馬威脅的發展態勢，并建議高校安全管理部門和人員加強意識，通過多種渠道對高校網站進行安全檢測與加固，以防止被惡意攻擊和掛馬。

被掛馬網站數據統計分析

2010年上半年，網站掛馬監測平臺累計檢測到425個教育網頂級域名下的1,374個網站被掛馬，上半年掛馬率為3.88%（即在上半年周期內，教育網內有3.88%比例的網站曾被檢測出掛馬）。每月在教育網中檢出的掛馬網站數量和月度的掛馬率變化趨勢如圖 1所示，總體呈現快速增長趨勢。2月，由于春節假期等因素掛馬網站數量較少；進入3月中下旬，由于當時IE瀏覽器中爆出iepeers零日漏洞（又稱為”極風”），以及攻擊該漏洞的網馬在黑客社區中廣泛流傳，3月和4月的教育網掛馬網站數量成倍攀升，并在4月及5月高考高招來臨前保持在高位狀態，月度掛馬率接近2%；6月掛馬率稍稍回落至1.67%，共檢出590個掛馬網站，可能是因為部分高校網站，特別是高招網站，其安全開始得到重視。

對于監測平臺所檢出的教育網掛馬網站，我們在檢出后的第一時間查詢Google安全瀏覽(Google Safe Browsing) API接口，獲取Google是否對這些網站進行惡意標注的結果。值得注意的是在平臺于5～6月檢出的833個掛馬網站中，Google標注了340個，未標注比例達到近60%。該數據說明，雖然Google安全瀏覽計劃監測面很廣，但對中國教育網的監測覆蓋面尚不夠充分。

圖1 2010年上半年教育網網站掛馬數量和月度掛馬率呈快速增長趨勢

在2010年上半年檢出的1,374個掛馬網站中，我們進一步對這些網站在平臺每輪監測中檢出次數和掛馬檢出的持續時間進行了統計，其分布如圖 2所示。掛馬網站的平均檢出次數為3.9，檢出次數最多的網站達到了28次，是某高校的精品課程網站；檢出持續時間最長為143天，被檢出的某高校生物技術學院在1月下旬檢出后一直保持被掛馬狀態，持續被平臺檢出。而檢出掛馬網站的平均掛馬持續時間為25.7天1，這說明教育網部分網站對掛馬的檢測和響應還遠遠不夠主動和迅速，也使得掛馬網站持續地對訪問者構成安全威脅。

圖2 2010年上半年教育網掛馬網站檢出次數和掛馬持續時間分布

檢出的1,374個掛馬網站分布于425個教育網頂級域名（即大致分布于400多個高校和科研院所單位），檢出掛馬網站最多頂級域名為haue.edu.cn。從2月3日至6月28日，在該域名下持續有48個不同的網站被檢出掛馬，檢出次數達到233次。經分析，該高校網站大部分都建在同一IP的服務器上，且均采用了ASP動態頁面建站；而被植入的網頁木馬也都屬于同一滲透代碼工具包(Exploit Kit)，而且宿主域名源于同一動態域名服務。因此，可以推測，該高校大量網站被掛馬是同一攻擊者(團伙)所為，通過攻入服務器，在不同虛擬主機目錄的網頁中插入惡意掛馬鏈接，從而實施網站掛馬攻擊。在檢出掛馬網站的425個頂級域名中，平均每個域名下有3.2個掛馬網站，這些檢出掛馬網站的頂級域名所屬單位也幾乎囊括了目前國內所有985及211高校。

圖3 教育網檢出掛馬網站數量和次數的頂級域名分布情況

表1 傳播網站數量最多的網頁木馬宿主站點

表2 影響掛馬網站數量最多的網頁木馬宿主站點根域名

網頁木馬宿主站點分析

網站掛馬監測平臺具有網頁木馬精確定位和掛馬鏈提取功能，對于檢測到的掛馬網站，能夠追溯網頁木馬宿主站點。基于這些原始數據，我們對上半年教育網檢出的網頁木馬宿主站點進行統計分析，從而嘗試揭示出一些攻擊者構建掛馬攻擊場景的技術規律。

在平臺對1 374個掛馬網站的累計26,956次檢出結果中，這些掛馬網站最終裝載了位于1,001個惡意宿主上的網頁木馬URL，傳播網站數量最多的網頁木馬宿主站點如表1，最多的宿主站點o.lookforhosting.com上的網頁木馬鏈接在145個教育網網站中植入傳播。表 2顯示了影響掛馬網站數量最多的網頁木馬宿主站點根域名，以及在這些根域名上所發現的網頁木馬宿主站點數量，從中可以看出大量網頁木馬宿主站點利用從希網免費域名服務申請的動態域名進行DNS解析，這說明了國內動態域名服務尚存在被濫用的情況，需對動態域名注冊進一步加強安全管理。

在我們的監測過程中發現，檢出的掛馬網站在每輪監測中提取到的網頁木馬宿主站點具有高度的變化性，72.7%的掛馬網站所掛接的宿主站點進行了變化轉移，每個掛馬網站平均對應的宿主站點數竟達到了5.32。此外，我們監測到的宿主站點分布于170個頂級域名上，其中的46個頂級域名至少擁有兩個惡意宿主站點，平均擁有19個。特別是希網旗下的2288.org、8800.org、3322.org、6600.org、8866.org、9966.org和7766.org免費動態域名服務，共計為544個惡意宿主站點提供了動態域名，超出了我們所發現惡意宿主站點總數的一半以上。其中攻擊者在2288.org等動態域名服務上引入了域名隨機化機制，如60433.23620979173.ajw.2288.org，也使得用于分發網頁木馬的惡意宿主站點域名更加多樣化。

這種在惡意宿主站點和域名上的高度變化性和對抗性顯然是在回避目前產業界和國家監管部門普遍實施的黑名單域名和網址過濾機制，這對有效應對處置網站掛馬威脅提出了更高的挑戰。

網頁木馬利用的安全漏洞

目前網站掛馬監測平臺主要仍采用動態行為分析技術檢測和發現掛馬網站，尚無法自動化地分析出網頁木馬所利用的安全漏洞類型。為了進一步完善平臺，我們已經在瀏覽器模塊間通訊劫持技術、基于安全漏洞特征的網頁木馬檢測方法、基于安全漏洞模擬的網頁木馬檢測方法等方面取得了技術突破，相關研究成果發表于AsiaCCS’10等知名國際會議上，也將利用創新技術進一步完善監測業務平臺。

根據對固化保全的網頁木馬攻擊場景進行人工輔助分析的結果，我們總結了2010年上半年檢出網頁木馬所主要利用的安全漏洞和攻擊方式：網馬利用最為流行和普遍的漏洞莫過于IE瀏覽器中爆出的MS10-018（國內又稱“極風”）和MS10-002（“極光”）；而2009年的MS09-043、MS09-032，2008年的MS08-054、聯眾GLIEDown.IEDown.1控件多個緩沖區溢出漏洞，2007年的RealPlayer IERPCtl.IERPCtl.1控件漏洞和“老的掉牙”的MS06-014漏洞仍頻頻出現在集成多個滲透攻擊代碼的網馬攻擊包中；另外Adobe公司的Flash和PDF由于應用面廣泛、支持內嵌ActionScript和JavaScript等腳本語言，也已經成為網馬攻擊的常用途徑，在從教育網中檢出的網頁木馬攻擊場景中，我們也發現大量用于承載滲透攻擊的惡意SWF和PDF文件。

表3 2010年上半年網頁木馬利用的主要安全漏洞和攻擊方式

“極光”與“極風”是今年上半年微軟IE瀏覽器中先后被爆出0day和網馬攻擊的安全漏洞。“極光”漏洞(MS10-002)由于最早在作為Google“退出中國市場”事件導火索的“極光”攻擊事件中被利用而聞名，其本質是IE瀏覽器DOM模型實現中存在的對象引用計數錯誤，從而導致的use-after-free類型安全漏洞（詳見《中國教育網絡》2-3合刊：微軟“極光”漏洞殃及谷歌和中國網民）。而“極風”漏洞(MS10-018)也同樣是IE瀏覽器中爆出的useafter-free類型漏洞，漏洞觸發點在于CPersistUserData::setAttribute()方法，由于該方法對VT_DISPATCH類型的Variant變量轉化過程中的引用計數處理失誤導致內存破壞，從而造成遠程執行任意代碼2。

如圖 4所示，我們對這兩個漏洞在檢出高校掛馬網站中流行趨勢做了一個統計分析，對每旬所檢測到的包含這兩個漏洞利用網馬的掛馬攻擊場景數量進行分析與對比。從圖示結果可以顯示出典型的安全漏洞利用生命周期，如“極光”漏洞，從1月15日被公開披露以后，即隨進入0day和1day階段的高峰利用期，然后隨著補丁的推出、廣泛應用及其他0day漏洞的出現，其利用范圍和規模也逐步地衰減，但會具有一個較為漫長的“半衰期”。而“極風”漏洞被網馬利用的范圍和持續時間要比“極光”漏洞高出一個數量級，一個可能的原因是“極光”漏洞的爆出時間是處在臨近春節假期，而國內各類攻擊現象的統計規律往往揭示出攻擊者在春節期間也會安心的過節休息，而不會過多加班加點的攻擊。

圖4 “極光”與“極風”漏洞利用網頁木馬場景數量的趨勢分析與對比

圖5 網頁木馬滲透代碼變種

針對上半年最流行的“極風”安全漏洞，監測平臺在不同時間點也采集到了針對同一漏洞但形態不同的網頁木馬，從中我們也可以看出網頁木馬滲透代碼隨時間不斷演變的趨勢。在2010年3月11日“極風”漏洞還處于0day階段時，我們的監測平臺發現了第一個攻擊該漏洞的網頁木馬滲透代碼，而第一個版本非常簡單易懂，并沒有引入任何的混淆機制。而在3月22日我們發現了第一個變種，如圖5中代碼所示，該變種只是在Heapspray過程中采用了混淆機制，將shellcode隱藏至SCRIPT外鏈的一個偽裝CSS文件中，并通過字符串的編碼操作對實施Heapspray的代碼進行了混淆。

而在此之后，我們進一步發現了另外5種針對“極風”漏洞攻擊的網頁木馬，這些變種主要在如下兩方面進行了增強：

引入了更強的混淆機制：網頁木馬滲透代碼引入了更多的混淆機制以對抗檢測與分析。混淆技術從簡單的字符串操作、escape函數編碼，到復雜的自動化加密工具。如我們在一個較新的“極風”網馬中發現了“Encrypt By Dadong’s JSXX 0.31 VIP”的注釋，顯然這使用了一個專門開發的加密工具，該加密工具能夠繞過Freshow等已有網馬輔助分析工具的解密能力。

攻擊優化：優化滲透攻擊代碼以獲得更高的攻擊成功率。一些“極風”網馬變種嘗試多次攻擊，并針對客戶端瀏覽器的不同版本裝載和運行不同的滲透攻擊代碼。

北京大學網絡與信息安全實驗室、中國教育和科研網緊急響應組(CCERT)、中國教育網體檢中心合作開展對教育網中的網站掛馬情況進行全網檢測和態勢分析，并為中國教育網體檢中心(www.nhcc.edu.cn)注冊的高校網站用戶提供網站掛馬定點監測服務(ercis.icst.pku.edu.cn)。通過2010年上半年教育網掛馬監測數據結果分析，425個頂級域名的1,347個網站被掛馬，上半年網站掛馬率達到3.88%，這說明教育網網站的安全狀況仍不容樂觀。希望高校網絡安全管理部門和人員能夠充分重視，對相關網站進行全面檢測和安全加固，積極預防，盡量避免網站掛馬等安全事件的發生。