利用基礎數據對某IDC大量網站被黑進行關聯分析

*本文作者：feiniao，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。

前言

近日，「雲悉」互聯網安全監測平台監測到大量企事業單位及高中專院校大量出現博彩類信息，大量網站其頁面被植入博彩信息。筆者對這些被攻擊的網站以及手法進行了一番探究。

1. 情況說明

近日，「雲悉」互聯網安全監測平台監測到大量企事業單位及高中專院校大量出現博彩類信息，大量網站其頁面被植入博彩信息,詳細如下：

監測網站被植入博彩鏈接情況

網站首頁出現博彩信息

2. 入侵分析

2.1 分析思路

對這些被植入博彩信息的網站進行分析，發現其被入博彩信息內容基本一致，懷疑為同一黑客團伙所為，既然同一波黑客，其肯定為利用相同漏洞批量進行操作。對這些網站指紋進行分析，發現其指紋基本上都有某網站管理系統。

被黑網站指紋情況

既然這些被黑網站大多使用某網站管理系統，其作為IDC，其伺服器下部署大量的網站，其都有可能被入侵植入相關博彩信息，這樣可以批量分析被植入博彩的網站並關聯其可能的入侵利用漏洞，其思路如下：

1. 分析這些網站的對應IP

2. 利用IP反查IP對應的域名

3. 批量驗證這些域名是否被入侵

4. 分析被入侵網站的指紋，初步判斷黑客可能利用的漏洞

5. 結合攻擊日誌來進行攻擊溯源:佐證黑客入侵的利用漏洞、入侵IP、時間等

6. 批量分析使用該指紋的其他網站是否也發生被入侵的事件

2.2 關聯分析IP

發現這些網站解析到三個IP地址:61.191.49.157，61.191.50.98,61.191.50.109。

網站被解析到61.191.49.157

網站被解析到61.191.50.98

網站被解析到61.191.50.109

通過「雲悉」互聯網安全監測平台監測到被黑的網站，目前分析到以下三個IP反查IP對應域名：

對這些IP反查相應的域名，使用360netlab和riskiq的PassiveDNS數據目前共查詢到近3000個域名在這三個IP上。

360 netlab的PassiveDNS數據

riskiq的PassiveDNS數據

但是分析了一下，有很多是歷史的，目前已過期，因此需要重新驗證一下這些域名對應的IP是否為這三個IP，使用Python的dns.resolver庫解析其DNS結果並驗證後，一共發現有2180個域名在這三個IP上。

2.3 批量分析被植入博彩網站

查詢到相應的域名以後，發現前期被植入博彩的特徵比較明顯，其博彩內容都是放在網站的title中，直接寫個python程序批量爬取網站源代碼，分析其源碼的title內容，核心代碼如下：

批量驗證網站是否被植入博彩內容

批量驗證後，目前共發現293個網站被植入博彩信息，相關網站以及被植入網站的部分情況如下圖所示：

部分被植入博彩網站情況

2.4 指紋分析

對這些被植入博彩內容的網站批量分析其網站指紋，以初步判斷可能的入侵利用漏洞。在這裡，利用「雲悉」指紋批量查詢，返回結果如下所示：

部分網站指紋情況

對這些指紋進行深入分析，得到如下數據：

被黑網站的指紋數據情況

一個很明顯的指紋，這些被入侵的大多安裝了iis、iQuery、ASP、某IDCIBW網站管理系統等。但是考慮到如果利用iis和asp的漏洞可能入侵的就不僅僅是某IDCIDC一家，目前「雲悉」互聯網安全監測平台監測全省大量的IDC網站，最近只監測到某IDC下面的網站存在被植入博彩的情況。

目前發現被黑的293個網站中有 234個使用該IDC的網站管理系統，使用該網站管理系統比較達80%，因此初步懷疑為該IDC的網站管理系統漏洞被黑客利用導致批量入侵。後續需要該IDC進行協助分析與驗證。

個人觀點

該分析的結論雖然很簡單，就是某IDC的網站管理系統存在漏洞被黑產團伙利用批量入侵網站並植入博彩SEO內容。但是裡面個人感覺利用基礎數據,如PassiveDNS、網站指紋等基礎數據進行數據分析挺有意思，這樣可以把一些很抽象雜亂的事件關聯到一起進行分析，抽離層層表象分析到事件的深層關聯。並且這種行為可以互聯網化，而基本不需要用戶來進行配合，減小事件分析的成本。

在這裡，個人一直認為基礎數據(如dns，子域名、whois、ip屬性、網站指紋、ssl證書hash等)的作用越來越重要，有了大量的基礎數據作為數據支撐才可以看得清、看得見事物的內在關聯與本質。很多看似複雜的表項通過基礎數據可以分析到其內在的原因。

參考

1.http://www.yunsee.cn

2.https://www.passivedns.cn

3.https://www.riskiq.com

4.https://www.programcreek.com/python/example/82642/dns.resolver

*本文作者：feiniao，本文屬 FreeBuf 原創獎勵計劃，未經許可禁止轉載。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！