第一篇:惠州政府网挂马分析报告
惠州政府网挂马分析报告
超级巡警安全中心检测到官方网站中国惠山网被挂马,黑客利用CVE-2011-0609的漏洞(根据分析,发现还有另一个网马地址,可是地址已经失效),对浏览网页的用户进行攻击。一旦攻击成功,黑客将获得该用户系统的完全控制权。
二、挂马分析
[root] hxxp://
[iframe] hxxp://(已失效)
[iframe] hxxp://(CVE-2011-0609)
[exe] hxxp://x5978.3322.org/xz/1.exe
三.漏洞描述
这个漏洞存在于以下平台版本:Windows、Mac、Linux和Solaris平台最新Adobe Flash Player 10.2.152.33版本以及更早版本,Chrome谷歌浏览版Flash Player10.2.154.18以及更早版本;Android版Flash Player 10.1.106.16及更早版本;Windows和Mac平台包含authplayl.dll组件的Adobe Reader/Acrobat X(10.0.1)及更早版本。
下图为被挂马也网马页地址(图一)及解密后的内容(图二): 图一 图二
四、病毒分析
病毒相关分析: 病毒标签:
病毒名称:Trojan-GameThief.Win32.Magania.efrt
病毒别名:
病毒类型: 盗号木马
危害级别:4
感染平台:Windows
病毒大小: 23,952 bytes
SHA1 : 8c6234b6bbdd7db541d7f81ca259d7ca67a7dbda
加壳类型:伪装UPX壳
开发工具: Delph
病毒行为:
1)释放病毒副本:
释放31009125n31.dll到%Temp%下;(n31前的数字为随机数字)
释放30680437n31.dll 到%Temp%下并设置系统,隐藏属性;(n31前的数字为随机数字)
释放ctfmon.exe 到%SystemRoot%下;
2)遍历以下进程,并结束他们来进行自我隐藏:
360rp.exe,360sd.exe,360tray.exe,avp.exe,ravmond.exe
3)遍历以下QQ西游的主进程,以便游戏重启时截获用户账号密码:
QQ西游.exe,qy.exe,qqlogin.exe
4)安装全局消息钩子,截获键盘消息
ctfmon.exe HOOK WM_GETMESSAGE
5)进行网络通信,将获取到得账号发送出去。
6)删除自身。
五.事件总结:
分析发现,这次对中国惠山的攻击与往常其他拥有大量用户的网站挂马情况类似,在某个广告页面被ARP攻击。通过分析病毒行为发现这个是个专门针对QQ西游游戏的盗号木马,即便有密保用户也会中招。针对近期出现大量攻击政府网站挂马的行为,希望大家及时更新杀毒软件病毒库,并及时安装软件补丁包防范于未然。
目前畅游精灵已经可以完美拦截该网马的攻击,超级巡警云查杀可以有效识别该木马。超级巡警安全中心提醒用户安装畅游精灵和超级巡警对木马进行有效的拦截。对于已经中毒的用户,巡警安全中心建议您立刻使用超级巡警云查杀进行有效的木马查杀,以此保证自己的系统的安全。
第二篇:2010年上半年教育网网站挂马监测报告
2010年上半年教育网网站挂马监测分析报告
北京大学网络与信息安全实验室,中国教育和科研网紧急响应组,中国教育网体检中心
2010年7月
网站挂马近年来一直是国内互联网安全最严重的安全威胁之一,也对教育网网站构成了 现实普遍的危害。随着高考招生拉开帷幕,教育网网站,特别是高招网站,将成为广大考生 和家长频繁浏览的热门站点,也不可避免地成为恶意攻击者的关注目标。
北京大学网络与信息安全实验室(ercis.icst.pku.edu.cn)于去年完成了网站挂马监测平台 系统的研发,通过与中国教育网体检中心(页面。
图 14 224ay.htm网页木马攻击分发页面,包含反病毒软件识别机制
通过对iie.swf和fff.swf Flash文件的手工分析,我们发现该Flash文件是通过ActionScript 中判断Flash Player版本,并利用LoadMovie()函数进一步装载渗透攻击页面,但在我们固化
保全过程中,该页面已失效。av.htm页面内容如图 15,首先根据是否IE7,分别装载6.htm 和7.htm,并进一步输出nod.htm、real.htm和rising.htm。
图 15 av.htm网页木马攻击二级分发页面
6.htm页面内容如图 16,在页面中还通过SCRIPT外链引入了mp.js(页面内容如图 17),经过分析可知6.htm是未经混淆的“极风”漏洞渗透攻击代码,而所引入mp.js中的内容则 包含了一个用于对抗目前一些模拟分析环境(如开源的PHoneyC等)中应用的ActiceX控件 模拟机制的小伎俩,试图创建一个在系统中肯定不存在的“be”控件,而如果客户端环境告 知能够创建成功,则必然客户端环境中采用了ActiveX控件模拟机制(目前实现一般是对所 有环境中不存在ActiveX控件都返回创建成功的模拟对象,然后试图劫持获取进一步的方法 调用和/或动态输出页面链接),而该段代码在创建不成功时才输出后面代码所依赖的一些变 量定义,如此,实现了ActiveX控件模拟机制的环境则无法正确地动态执行代码,从而对该 网马实施有效检测。
图 16 6.htm页面内容,分析可知是未进行混淆的“极风”漏洞渗透攻击代码
图 17 6.htm页面中包含mp.js内容,包含了对抗模拟插件机制
rising.htm页面及之后装载的ofnt.htm,以及ofnt.htm页面中包含的SCRIPT外链oopk.jpg 及uug.jpg的页面内容构成了对Office Web组件OWC10.SpreadSheet中内存破坏安全漏洞(MS09-043)的渗透攻击代码,代码采用了SetTimeout()函数延迟输出链接、将Script文件伪
装JPEG图片文件、通过复杂字符串计算组装Shellcode和ActiveX控件名称等技术手段,以 提升分析的难度。
图 18 rising.htm页面内容,尝试创建OWC10.Spreadsheet控件,并装载ofnt.htm页面
图 19 ofnt.htm页面内容,包含oopk.jpg和uug.jpg两段外链脚本
图 20 oopk.jpg页面中的Script代码,定义Shellcode等变量
图 21 uug.jpg页面中的Script代码,定义一些关键变量,并进行了混淆处理
该场景中还包括了针对联众GLIEDown.IEDown.1控件缓冲区溢出漏洞(BID: 29118,29446)的渗透攻击页面(nod.htm及lz.htm),以及针对Real Player软件IERPCtl.IERPCtl.1控件中缓冲
区溢出漏洞(CVE-2007-5601)的渗透攻击页面(real.htm及myra.htm)。
通过上述两个今年上半年在教育网网站上流行的网页木马攻击场景案例分析,我们可以 总结出目前网页木马攻击者已引入大量的技术手段和伎俩在和研究团队、产业界及政府相关 监管部门进行对抗,以躲避检测,并提升分析追踪的难度。对网页木马的监测与分析技术发 展、平台建设和相应的应急响应处置流程还需要持续地改进和完善,才能够有效地应对和处 置网页木马这种流行的安全威胁形态。
5.总结
北京大学网络与信息安全实验室、中国教育和科研网紧急响应组(CCERT)、中国教育网 体检中心合作开展对教育网中的网站挂马情况进行全网检测和态势分析,并为中国教育网体 检中心(www.xiexiebang.com)。通过2010年上半年教育网挂马监测数据结果分析,共检出来自425 个顶级域名的1,347个网站被挂马,上半年网站挂马率达到3.88%,这说明教育网网站的安 全状况仍不容乐观。希望高校网络安全管理部门和人员能够充分重视,对相关网站进行全面 检测和安全加固,积极预防,尽量避免网站挂马等安全事件的发生。
第三篇:解析网页后门与网页挂马原理
解析网页后门与网页挂马原理
转自 IT168
网站被挂马,被植入后门,这是管理员们无论如何都无法忍受的。Web服务器被攻克不算,还“城门失火殃及池鱼”,网站的浏览者也不能幸免。这无论是对企业的信誉,还是对管理员的技术能力都是沉重的打击。下面笔者结合实例对网页后门及其网页挂马的技术进行解析,知己知彼,拒绝攻击。
一、前置知识
网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。
网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机。
二、网页挂马的类型
1、框架嵌入式网络挂马
网页木马被攻击者利用iframe语句,加载到任意网页中都可执行的挂马形式,是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下: