近期，騰訊安全風(fēng)控平臺(tái)團(tuán)隊(duì)在治理外鏈安全時(shí)發(fā)現(xiàn)某協(xié)會(huì)網(wǎng)站下突增數(shù)十萬(wàn)個(gè)子域名，且訪問(wèn)這些子域名均會(huì)跳轉(zhuǎn)到付費(fèi)色情網(wǎng)站；某省司法廳網(wǎng)站也存在類似情形，點(diǎn)擊其主站下方鏈接將會(huì)跳轉(zhuǎn)到色情網(wǎng)站。經(jīng)過(guò)分析發(fā)現(xiàn)，這些網(wǎng)站存在子域名接管漏洞和上傳漏洞，被黑產(chǎn)發(fā)現(xiàn)并利用，而存在類似問(wèn)題的企業(yè)政府網(wǎng)站達(dá)到數(shù)千家。

子域名接管與文件上傳漏洞利用堪稱“黑產(chǎn)跳板”，其存在一些典型特征，下文將結(jié)合案例具體分析：

案例一：DNS通配符“引爆”60萬(wàn)色情子域名

近期，某協(xié)會(huì)網(wǎng)站流量突然異常起來(lái)，訪問(wèn)量暴增數(shù)萬(wàn)倍，子域名數(shù)量更是達(dá)到驚人的60多萬(wàn)。如圖1.1所示，經(jīng)過(guò)分析發(fā)現(xiàn)，雖然主站訪問(wèn)正常，但是其子域名均會(huì)跳轉(zhuǎn)到需要付費(fèi)觀看的色情網(wǎng)站。

圖1.1 出現(xiàn)異常告警的某協(xié)會(huì)網(wǎng)站除少數(shù)屬于正常流量外，其他均跳轉(zhuǎn)到色情網(wǎng)站

如圖1.2所示，經(jīng)過(guò)對(duì)該協(xié)會(huì)解析的DNS記錄分析發(fā)現(xiàn)，該域名下所有子域名解析的IP一共有兩個(gè)，其中120.***.***.244 下解析的子域數(shù)量只有不到10個(gè)，均為正常網(wǎng)站，另一個(gè)49.***.***.7解析的子域數(shù)量高達(dá)60多萬(wàn)，均為色情網(wǎng)站，并且這些子域名有著很強(qiáng)的特征，一看就是隨機(jī)生成的。

圖1.2 某協(xié)會(huì)網(wǎng)站下子域名解析的IP地址統(tǒng)計(jì)

案例二：圖片文件隱藏的"特洛伊木馬"攻擊

在訪問(wèn)某瀏覽器網(wǎng)站下的圖片鏈接時(shí)，莫名其妙打開(kāi)了一個(gè)色情網(wǎng)站；通過(guò)wget命令把這個(gè)圖片下了過(guò)來(lái)，發(fā)現(xiàn)整體大小只有17.6KB，像素為10×10，瀏覽時(shí)沒(méi)啥有效信息，如圖1.3所示。當(dāng)用戶點(diǎn)擊看似無(wú)害的10×10像素“圖片”時(shí)，實(shí)際已觸發(fā)隱藏在文件尾部的JS炸彈：這個(gè)圖片原來(lái)只有文件頭是圖像，后面嵌入了一整個(gè)網(wǎng)頁(yè)信息，訪問(wèn)時(shí)觸發(fā)JS控制，重寫(xiě)頁(yè)面展示惡意內(nèi)容，如圖1.4所示。

圖 1.3 圖像沒(méi)有啥有效信息

圖 1.4 只有文件頭是圖像相關(guān)的，后面嵌入了整個(gè)網(wǎng)頁(yè)

案例三：假冒圖片文件植入“特洛伊木馬”攻擊

在訪問(wèn)某知名牛奶公司網(wǎng)站下的圖片鏈接時(shí)，也跳轉(zhuǎn)到了一個(gè)色情網(wǎng)站；通過(guò)wget命令把這個(gè)圖片下載下來(lái)，發(fā)現(xiàn)只有文件后綴是圖片，實(shí)際內(nèi)容是一個(gè)網(wǎng)頁(yè)信息，訪問(wèn)時(shí)會(huì)觸發(fā)JS控制，重寫(xiě)頁(yè)面展示惡意內(nèi)容，如圖1.5所示。

圖 1.5 只有文件后綴是圖片后綴，實(shí)際內(nèi)容是網(wǎng)頁(yè)

案例四：空白頁(yè)面的JS重定向陷阱

在訪問(wèn)某省司法廳下的鏈接時(shí)，也跳轉(zhuǎn)到了一個(gè)色情網(wǎng)站；通過(guò)觀察該鏈接的源代碼，發(fā)現(xiàn)該源代碼非常簡(jiǎn)潔，幾乎是一個(gè)空白頁(yè)面，但訪問(wèn)時(shí)會(huì)觸發(fā)JS控制，重定向到另外一個(gè)色情網(wǎng)站，如圖1.6所示。

圖1.6 鏈接內(nèi)容幾乎空白，通過(guò)JS控制頁(yè)面實(shí)際內(nèi)容

通過(guò)對(duì)上述四個(gè)案例展開(kāi)深入分析，可總結(jié)出如下漏洞趨勢(shì)：案例一中的網(wǎng)站存在子域名接管漏洞，案例二至四的網(wǎng)站存在文件上傳漏洞，這些漏洞被黑灰產(chǎn)發(fā)現(xiàn)并利用，網(wǎng)站也間接地成為了黑產(chǎn)幫兇。如圖1.7所示，截至6月5日已經(jīng)有超過(guò)1千家企業(yè)、政府網(wǎng)站存在漏洞而被黑產(chǎn)利用。

圖1.7 因存在漏洞被黑產(chǎn)利用的企業(yè)政府網(wǎng)站數(shù)量增長(zhǎng)趨勢(shì)

被遺忘的DNS記錄

如何淪為黑產(chǎn)溫床？

子域接管是指注冊(cè)一個(gè)新的域名以獲取對(duì)另外一個(gè)域名控制權(quán)。這個(gè)過(guò)程最常見(jiàn)的場(chǎng)景如下：

域名使用CNAME記錄指向另外一個(gè)域名，例如，sub.test_a.com CNAME test_b.com。

● 在某一時(shí)間，test_b.com因過(guò)期使得任何人都可以注冊(cè)。

● 由于test_a.com的CNAME記錄并沒(méi)有清除，因此注冊(cè)test_b.com的人可以完全控制sub.test_a.com。

CNAME記錄接管是當(dāng)前外鏈安全中最常見(jiàn)的一種子域接管漏洞，尤其是通過(guò)DNS通配符生成的子域接管尤其嚴(yán)重。DNS通配符記錄使得未明確指定的子域名都指向一個(gè)通用地址，這個(gè)地址可以是一個(gè)IP地址，也可能是一個(gè)CNAME記錄。例如案例一分析就是DNS通配符所引發(fā)的，具體過(guò)程如圖2.1所示，包含以下3個(gè)階段。

圖2.1 子域名接管漏洞出現(xiàn)的幾個(gè)階段

早期，該協(xié)會(huì)網(wǎng)站曾經(jīng)部署在IP49.***.***.7上面，并配置了通用的DNS解析記錄*.***da.cn指向IP49.***.***.7。

● 其后，該協(xié)會(huì)把網(wǎng)站遷移到了IP120.***.***.244，但忘記刪除歷史的DNS解析記錄（*.***da.cn指向IP49.***.***.7）。這樣就導(dǎo)致除了該協(xié)會(huì)網(wǎng)站預(yù)設(shè)的子域名外，其余的子域名都會(huì)解析到49.***.***.7這個(gè)IP下面。

黑產(chǎn)在發(fā)現(xiàn)這個(gè)問(wèn)題之后，發(fā)現(xiàn)49.***.***.7是某云平臺(tái)的IP，還沒(méi)有被占用，于是將該IP注冊(cè)，并在上面搭建了大量的色情頁(yè)面。黑產(chǎn)通過(guò)各種渠道大肆傳播可以解析到49.***.***.7的子域名。這導(dǎo)致該協(xié)會(huì)域名下資源訪問(wèn)熱度和子域名數(shù)量出現(xiàn)爆炸性增長(zhǎng)。

除了CNAME子域接管漏洞外，還有NS子域名接管漏洞和MX子域名劫持，這里不做詳細(xì)闡述。子域接管漏洞所導(dǎo)致的后果十分嚴(yán)重，黑灰產(chǎn)可以利用子域接管經(jīng)正規(guī)域名訪問(wèn)釣魚(yú)網(wǎng)站、違規(guī)收集個(gè)人信息，損害正規(guī)域名的品牌信譽(yù)。

騰訊安全已經(jīng)發(fā)現(xiàn)超過(guò)千家企業(yè)網(wǎng)站存在子域接管漏洞，并且被黑灰產(chǎn)利用，生成了超過(guò)千萬(wàn)的虛假紅包的子域名。這類黑產(chǎn)，通常以“海底撈新店開(kāi)業(yè)”“海底撈上市”“海底撈粉絲回饋”等名義，傳播一些虛假紅包鏈接，要求用戶轉(zhuǎn)發(fā)和分享后才可以提現(xiàn)，如圖2.2所示。但實(shí)際上，這是一種典型的騙局，黑產(chǎn)的目的是誘導(dǎo)用戶轉(zhuǎn)發(fā)獲取流量以及個(gè)人信息，引導(dǎo)用戶關(guān)注黑灰產(chǎn)控制的公眾號(hào)資源，再利用這些資源傳播色情和詐騙內(nèi)容，誘導(dǎo)用戶充值，以此來(lái)非法牟利。

圖2.2 通過(guò)子域名接管漏洞大量傳播仿冒海底撈虛假紅包

如圖2.3所示，通過(guò)子域接管漏洞傳播虛假紅包背后的黑灰產(chǎn)作惡流程主要包含以下幾個(gè)步驟。

圖2.3 通過(guò)子域接管漏洞傳播虛假紅包背后的黑灰產(chǎn)作惡流程

用戶瀏覽黑產(chǎn)通過(guò)子域名接管漏洞接管的企業(yè)子域名下面的某個(gè)頁(yè)面，這個(gè)頁(yè)面實(shí)際上是一個(gè)空白頁(yè)面，只執(zhí)行特定的JS。

● 這個(gè)特定的JS首先會(huì)執(zhí)行平臺(tái)檢測(cè)，如果非指定平臺(tái)，則會(huì)重定向到一些知名的大站。如果是在指定平臺(tái)上訪問(wèn)的話，則執(zhí)行下一步。

● 特定的JS會(huì)向黑產(chǎn)搭建的服務(wù)器后臺(tái)發(fā)起請(qǐng)求，獲取虛假紅包頁(yè)面。

● 在接收到黑產(chǎn)后臺(tái)返回的響應(yīng)內(nèi)容后，JS會(huì)清空當(dāng)前頁(yè)面，根據(jù)返回的信息重繪當(dāng)前頁(yè)面，或者重定向到另外一個(gè)頁(yè)面。

● 用戶現(xiàn)在看到的就是虛假紅包頁(yè)面，會(huì)根據(jù)頁(yè)面的相關(guān)指引進(jìn)行后續(xù)分享、關(guān)注某些公眾號(hào)資源或者在網(wǎng)站上登記相關(guān)個(gè)人信息。

同時(shí)，通過(guò)網(wǎng)址關(guān)系鏈技術(shù)，我們發(fā)現(xiàn)這些仿冒海底撈紅包的子域名最后指向的資源，存在高度的聚集性，呈現(xiàn)明顯的團(tuán)伙性質(zhì)，如圖2.4所示，橙色部分為用戶瀏覽傳播的仿冒海底撈虛假紅包的子域名，藍(lán)色部分為重定向或者黑產(chǎn)后臺(tái)服務(wù)相關(guān)的子域名。通過(guò)對(duì)藍(lán)色部分的持續(xù)監(jiān)控，我們就可以不斷獲取黑產(chǎn)新投入的仿冒海底撈虛假紅包的子域名。

圖2.4 通過(guò)子域接管漏洞傳播虛假紅包團(tuán)伙分析

子域名安全防護(hù)“六步法”

為了預(yù)防子域名接管漏洞的發(fā)生，可以采用以下綜合措施：

定期審查子域名與DNS記錄。可以使用工具定期掃描所有子域名，建立完整的資產(chǎn)清單。并及時(shí)刪除不再使用的子域名或更新其DNS記錄，避免指向失效的第三方服務(wù)。

● 強(qiáng)化DNS配置。通過(guò)DNS安全擴(kuò)展防止DNS劫持，確保解析結(jié)果的真實(shí)性和完整性。此外也可以應(yīng)用最小權(quán)限言責(zé)，避免過(guò)度授權(quán)。

● 監(jiān)控與自動(dòng)化防護(hù)。實(shí)時(shí)監(jiān)控DNS記錄變更，設(shè)置告警機(jī)制。此外還可以應(yīng)用對(duì)應(yīng)工具定期檢測(cè)漏洞。

● 第三方服務(wù)管理。驗(yàn)證第三方服務(wù)的所有權(quán)，即便服務(wù)停用，在第三方平臺(tái)保留占位頁(yè)面或保留資源所有權(quán)。

● 安全策略與培訓(xùn)。為所有的子域名強(qiáng)制HTTPS、HSTS和內(nèi)容安全策略。并增強(qiáng)管理員和開(kāi)發(fā)人員的風(fēng)險(xiǎn)意識(shí)。

● 應(yīng)急響應(yīng)。明確安全事件的處置步驟，定期備份DNS區(qū)域文件，確?？煽焖倩貪L至安全狀態(tài)。

文件校驗(yàn)不全

政企官網(wǎng)成了黑產(chǎn)“馬甲”

案例二至四就是典型的上傳漏洞引起的問(wèn)題，如圖3.1所示，文件上傳漏洞被利用的情況大致可以分為以下幾種：

● 文件上傳接口沒(méi)有校驗(yàn)上傳文件的類型，在這種情況下，本來(lái)只應(yīng)該接收?qǐng)D片格式的文件上傳接口，被用戶上傳了HTML文件。

● 文件上傳接口只校驗(yàn)上傳文件的后綴，在這種情況下，本來(lái)只應(yīng)該接收?qǐng)D片格式的文件上傳接口，被用戶上傳了HTML文件，但只是后綴改成了PNG。

● 文件上傳接口只校驗(yàn)上傳文件的文件頭，在這種情況下，用戶可以只調(diào)整文件頭和后綴，文件頭后的實(shí)際內(nèi)容為HTML內(nèi)容。

圖3.1 文件上傳漏洞的幾種情況

如圖3.2所示，黑產(chǎn)通過(guò)文件上傳漏洞作惡的基本流程如包括以下幾個(gè)步驟：

圖3.2 黑產(chǎn)利用文件上傳漏洞上傳惡意HTML作惡的流程

用戶瀏覽黑產(chǎn)通過(guò)文件上傳漏洞上傳的引流頁(yè)面，這個(gè)頁(yè)面實(shí)際上是一個(gè)空白頁(yè)面，只執(zhí)行特定的JS。

● 特定的JS首先執(zhí)行調(diào)試模式檢測(cè)，如果是調(diào)試模式，則終端整個(gè)流程。非調(diào)試模式，則執(zhí)行下一步。

● 特定的JS執(zhí)行平臺(tái)檢測(cè)，如果不在指定平臺(tái)范圍內(nèi)，則會(huì)重定向到一些知名的大站。如果是指定平臺(tái)，則執(zhí)行下一步。

● JS向黑產(chǎn)的后臺(tái)發(fā)起請(qǐng)求。

● 黑產(chǎn)后臺(tái)處理請(qǐng)求，并返回需要重繪的頁(yè)面，由JS完成頁(yè)面重繪。

● 用戶點(diǎn)擊重繪頁(yè)面中的按鈕，再次向黑產(chǎn)后臺(tái)發(fā)起新的請(qǐng)求。

● 黑產(chǎn)后臺(tái)處理相關(guān)的請(qǐng)求，計(jì)算得到重定向的目標(biāo)網(wǎng)站。

● 黑產(chǎn)后臺(tái)返回重定向的目標(biāo)網(wǎng)站。

● 用戶終端重定向到目標(biāo)網(wǎng)站。

● 用戶繼續(xù)觀看目標(biāo)網(wǎng)站上的惡意內(nèi)容，進(jìn)行分享觀看及購(gòu)買等相關(guān)操作。

經(jīng)過(guò)上述作惡流程分析，我們發(fā)現(xiàn)很多色情網(wǎng)站可能有統(tǒng)一的后臺(tái)。通過(guò)網(wǎng)址關(guān)系鏈技術(shù)，我們發(fā)現(xiàn)，一周內(nèi)發(fā)現(xiàn)具有上述作惡特征的站點(diǎn)達(dá)到186萬(wàn)個(gè)，涉及超過(guò)2.1萬(wàn)個(gè)域名。其中除了黑產(chǎn)自建的網(wǎng)站之外，黑產(chǎn)也會(huì)應(yīng)用一些企業(yè)網(wǎng)站的文件上傳漏洞來(lái)傳播惡意內(nèi)容，本次發(fā)現(xiàn)超過(guò)360個(gè)政企網(wǎng)站和少數(shù)個(gè)人網(wǎng)站存在文件上傳漏洞且被黑產(chǎn)利用，如圖3.3所示，由于涉及很多正規(guī)網(wǎng)站，這對(duì)我們的打擊策略有了更高的要求。

圖 3.3 文件上傳漏洞背后黑灰產(chǎn)團(tuán)伙分析

文件上傳漏洞

“四重防護(hù)盾”構(gòu)建

預(yù)防文件上傳漏洞可以從文件校驗(yàn)、存儲(chǔ)安全、服務(wù)器配置和監(jiān)控審計(jì)等多方面入手。

● 文件校驗(yàn)：白名單校驗(yàn)，僅允許特定擴(kuò)展名，避免黑名單方式，但這種容易被繞過(guò)；MIME類型校驗(yàn)，檢查Content-Type，防止偽造文件類型；文件內(nèi)容檢查，通過(guò)文件頭驗(yàn)證真實(shí)格式；文件大小限制，如限制在2MB以內(nèi)。

● 存儲(chǔ)安全：隨機(jī)重命名，生成隨機(jī)文件名，避免路徑預(yù)測(cè)或覆蓋；非Web目錄存儲(chǔ)，上傳文件保存到不可以直接訪問(wèn)的目錄；禁用執(zhí)行權(quán)限，通過(guò)服務(wù)器配置禁止上傳目錄解析腳本。

● 服務(wù)器配置：獨(dú)立文件服務(wù)器，使用單獨(dú)域名/CDN分發(fā)文件，利用同源策略限制攻擊；禁用危險(xiǎn)函數(shù)，如PHP的system、exec等；HTTPS傳輸，防止上傳過(guò)程被篡改。

● 監(jiān)控與審計(jì)：病毒掃描，使用工具掃描上傳文件；日志記錄，記錄所有上傳操作，方便追蹤異常行為；定期檢查，審計(jì)上傳內(nèi)容和服務(wù)器日志。

當(dāng)前，騰訊安全團(tuán)隊(duì)已在騰訊系產(chǎn)品上針對(duì)存在發(fā)現(xiàn)的仿冒海底撈虛假紅包和支付類色情的外鏈進(jìn)行了處理，但是黑產(chǎn)的作惡收到和方法一直處于快速的變化中。騰訊安全建議所有用戶不要訪問(wèn)風(fēng)險(xiǎn)外鏈，避免上當(dāng)受騙，同時(shí)也建議網(wǎng)站管理員根據(jù)漏洞防范方法做好網(wǎng)站的安全管理工作，避免網(wǎng)站被黑灰產(chǎn)利用。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：