文 | 阿里安全威脅情報(bào)中心?
每一天我們都在疑惑,疑惑我們所處的世界翠拣,疑惑這個(gè)世界呈現(xiàn)出的不斷超出我們認(rèn)知的事物版仔。每一天我們又都在驚喜,驚喜的是不斷的新的認(rèn)知误墓,總能讓我們短暫地認(rèn)為蛮粮,似乎又更理解了這個(gè)世界。疑惑與驚喜的交織谜慌,似乎是對(duì)人類(lèi)最好的誘惑然想,驅(qū)使著我們一直探索。未知到已知的轉(zhuǎn)換欣范,似乎是我們認(rèn)知世界唯一的途徑变泄。永遠(yuǎn)令人著迷的不是未知,而是下一個(gè)未知恼琼。
今天阿里安全威脅情報(bào)中心為大家?guī)?lái)的報(bào)告主題是「解密BBOSS組織:全球十二萬(wàn)站點(diǎn)的地下掌控者」妨蛹。
報(bào)告楔子
還記得2015年年末基于TelsaCrypt變種(VVV病毒)猖獗的勒索攻擊嗎?阿里安全威脅情報(bào)中心監(jiān)測(cè)到大量來(lái)自郵件的此類(lèi)攻擊晴竞,同時(shí)在調(diào)查中發(fā)現(xiàn)有客戶未收到郵件也受到了勒索軟件的攻擊蛙卤。進(jìn)一步跟蹤調(diào)查發(fā)現(xiàn)客戶是訪問(wèn)了被掛馬網(wǎng)站導(dǎo)致感染。
基于發(fā)現(xiàn)的掛馬指紋在全球范圍內(nèi)做指紋探測(cè)噩死,發(fā)現(xiàn)互聯(lián)網(wǎng)上具有同樣特征的網(wǎng)站總計(jì)超過(guò)12萬(wàn)颤难,深入地調(diào)查了此次事件,我們注意到該事件背后程序架構(gòu)體系已經(jīng)非常完善已维,達(dá)工業(yè)化水準(zhǔn)乐严。基于從代碼結(jié)構(gòu)中發(fā)現(xiàn)的BASE層和BOSS層信息衣摩,故將其命名為BBOSS組織(事件)昂验。
全球影響
根據(jù)截至1月13日全網(wǎng)監(jiān)測(cè)數(shù)據(jù)顯示捂敌,BBOSS組織在最近三個(gè)月內(nèi)呈顯性活躍,入侵控制網(wǎng)站的規(guī)模也不斷擴(kuò)張既琴。這些被控制的站點(diǎn)以歐美地區(qū)為主占婉,亞非地區(qū)目前相對(duì)較少,但已經(jīng)呈蔓延趨勢(shì)。
受災(zāi)最為嚴(yán)重的為美國(guó)甫恩,比例高達(dá)30%逆济,其次為歐洲各國(guó),亞洲國(guó)家中韓國(guó)排列第一磺箕,占到4%奖慌,而南美、非洲松靡、澳洲占比最小简僧。
影響站點(diǎn)和軟件
受感染的網(wǎng)站數(shù)量全球范圍內(nèi)超過(guò)12萬(wàn)個(gè),其中約78%都使用了開(kāi)源CMS框架雕欺,以Wordpress和Jommla為主岛马,尤其是Wordpress,占比高達(dá)57%屠列。
BBOSS技術(shù)體系
控制超過(guò)12萬(wàn)的網(wǎng)站啦逆,BBOSS背后的技術(shù)體系也極其完善,可以看到該組織為了更高效掌控和易隱藏笛洛,使用了多層架構(gòu)夏志,目前已形成控制超大規(guī)模集群肉雞網(wǎng)站的能力。
BBOSS技術(shù)體系中苛让,大致分為4層盲镶,分別是JS層,BASE層蝌诡,KEEPER層和BOSS層。每一層的肉雞分工明確枫吧,配合密切浦旱。JS層為直接接觸用戶的站點(diǎn),頁(yè)面中嵌入了js九杂,構(gòu)造請(qǐng)求轉(zhuǎn)發(fā)流量到BASE層颁湖。BASE層會(huì)向BOSS層請(qǐng)求指令,完成校驗(yàn)后BOSS層根據(jù)當(dāng)前需要進(jìn)行的攻擊返回攻擊指令例隆,再由BASE層下發(fā)給用戶甥捺。同時(shí),KEEPER層會(huì)定期對(duì)JS層和BASE層站點(diǎn)進(jìn)行探測(cè)存活镀层、增刪修改镰禾、漏洞利用等操作。
JS層分析
JS層受感染的網(wǎng)站數(shù)量全球范圍內(nèi)有10萬(wàn)個(gè)左右,這一層站點(diǎn)約85%都使用了開(kāi)源CMS框架吴侦,其中以Wordpress占比63%屋休,Jommla占比10%。
在近日备韧,我們也關(guān)注到PaloAlto?Netwokrs公布的報(bào)告「Angler Exploit Kit Continues to Evade?Detection: Over 90,000 Websites Compromised」劫樟,對(duì)其公布的數(shù)據(jù)進(jìn)行比對(duì),發(fā)現(xiàn)僅11863個(gè)域名匹配织堂,這些網(wǎng)站具備弱密碼或通用型漏洞叠艳,易被入侵,這和本次事件中在這些網(wǎng)站上發(fā)現(xiàn)多種不同類(lèi)型的webshell的證據(jù)吻合易阳。
JS層站點(diǎn)受感染的特征表現(xiàn)為附较,其框架head.php內(nèi)均被嵌入了惡意js,導(dǎo)致訪問(wèn)網(wǎng)站所有頁(yè)面時(shí)都會(huì)帶有該script闽烙〕峋Γ基于wordpress的網(wǎng)站主要是通過(guò)webshell在其主題的/wp-content/themes/twentyfourteen/header.php中插入,而基于Jommla的主要通過(guò)在/libraries/joomla/document/html/renderer/head.php中來(lái)插入黑竞。
惡意js代碼如下捕发,提取了當(dāng)前頁(yè)title、referer很魂、host信息扎酷,構(gòu)造請(qǐng)求后發(fā)往BASE層域下的jquery.min.php文件。
KEEPER層會(huì)不定期更新JS層站點(diǎn)的header.php中的植入js遏匆,同測(cè)試發(fā)現(xiàn)其帶有一定對(duì)抗能力法挨。當(dāng)模擬一個(gè)JS層站點(diǎn)對(duì)BASE層站點(diǎn)進(jìn)行請(qǐng)求測(cè)試時(shí),如果被檢測(cè)出是模擬測(cè)試幅聘,該JS層站點(diǎn)下所植入的惡意js會(huì)被暫時(shí)性清除幾天凡纳。
BASE層分析
與JS層相同,BASE層依然是大量被入侵控制的站點(diǎn)帝蒿,BASE層受感染數(shù)量與JS層受感染數(shù)量大致為1:5的關(guān)系荐糜。與JS層不同的是,這一層的站點(diǎn)不再是以CMS為主葛超,85%站點(diǎn)均未使用任何CMS暴氏,并且處于中國(guó)地區(qū)的站點(diǎn)極少,這類(lèi)站點(diǎn)以IIS绣张,Apache偏多答渔,也存在少量Nginx站點(diǎn)。
可以看到以往的攻擊在這一層就直接開(kāi)始植入惡意載荷了侥涵,但BBOSS不是沼撕,BASE這一層仍然只是中間跳板做院。BASE層站點(diǎn)表現(xiàn)的特征為困乒,被入侵后會(huì)在網(wǎng)站目錄下放置js/jquery.min.php和js/jquery-1.9.1.min.php兩個(gè)文件。這兩個(gè)文件使用障眼法,讓用戶誤以為是jquery相關(guān)的jquery.min.js及jquery-1.9.1.min.js仅孩。
按圖索驥昏苏,拿到j(luò)query.min.php樣本嗦哆,揭開(kāi)了其神秘的面紗燕鸽。代碼中使用了加密和混淆,解密后看到其封裝了BossAPI類(lèi)敬拓,該類(lèi)實(shí)現(xiàn)了向后端BOSS層的C&C的通信邻薯,并解析響應(yīng)結(jié)果的功能。
主程序部分包含3個(gè)流程乘凸,若GET請(qǐng)求參數(shù)為空厕诡,構(gòu)造同域名下隨機(jī)頁(yè)面,訪問(wèn)并404返回营勤。
c_utm流程用于接收來(lái)自JS層構(gòu)造的請(qǐng)求灵嫌,并隨機(jī)轉(zhuǎn)發(fā)給BOSS層的4臺(tái)C&C,C&C會(huì)根據(jù)請(qǐng)求中的參數(shù)葛作,下發(fā)惡意指令寿羞。
pi流程主要用于接收來(lái)自KEEPER層的流量,并轉(zhuǎn)發(fā)給BOSS層C&C來(lái)校驗(yàn)赂蠢,用于判定BASE層是否存活以及是否是偽造绪穆。
同時(shí),我們發(fā)現(xiàn)BASE層同BOSS層的通信同樣也存在一定的對(duì)抗策略虱岂。另外代碼中還自帶了xor加密解密類(lèi)玖院,但目前尚未在主程序中使用。
BOSS層分析
與前面兩層不同第岖,BOSS層受感染的機(jī)器數(shù)量要小得多难菌。截止目前,通過(guò)分析多個(gè)從BASE層采集到的jquery.min.php及jquery.1.9.1.min.php樣本蔑滓,獲得了4個(gè)活躍的BOSS層C&C IP郊酒,以及一個(gè)閑置的IP。這5個(gè)IP的近期流量趨勢(shì)如下:
有意思的是烫饼,這5個(gè)ip分屬不同的5個(gè)國(guó)家,分別是美國(guó)试读、俄羅斯杠纵、立陶宛、法國(guó)和印度尼西亞钩骇,這些獨(dú)立IP同樣也都是入侵而來(lái)比藻。根據(jù)我們的數(shù)據(jù)顯示铝量,2015年11月其身影出現(xiàn)在了VVV勒索攻擊中,以及一些惡意推廣银亲。
只有當(dāng)需要攻擊的時(shí)候BOSS層才會(huì)下發(fā)攻擊指令慢叨,而平時(shí)只會(huì)下發(fā)重定向請(qǐng)求重定向到Google首頁(yè)。
KEEPER層分析
除了上述幾層务蝠,在BBOSS技術(shù)架構(gòu)中拍谐,還有一層KEEPER層。截止目已發(fā)現(xiàn)多個(gè)KEEPER層IP馏段,同樣分布在不同國(guó)家轩拨。這一層肉雞主要用于對(duì)JS層的webshell進(jìn)行探活、增刪修改JS層惡意js內(nèi)容院喜;對(duì)BASE層webshell亡蓉、juqery.min.php和jquery-1.9.1.min.php進(jìn)行探活。同時(shí)喷舀,還會(huì)伴隨有對(duì)JS層網(wǎng)站后臺(tái)的暴力破解砍濒、弱口令猜解、插件漏洞利用硫麻、后臺(tái)上傳帶后門(mén)插件等一系列入侵行為爸邢。對(duì)KEEPER層最為活躍的來(lái)自阿聯(lián)酋的IP 85.**.**.78進(jìn)行分析,其流量趨勢(shì)如下:
不難發(fā)現(xiàn)庶香,該Zombie Keeper并不是每天都在工作甲棍,會(huì)階段性的休息且每次休息間隔時(shí)間不同,由此推測(cè)Keeper是由攻擊者主動(dòng)啟動(dòng)而非定時(shí)自動(dòng)啟動(dòng)赶掖。在1226-1229期間感猛,甚至停止活動(dòng)了4天。同時(shí)奢赂,對(duì)JS層的請(qǐng)求趨勢(shì)與對(duì)BASE層的請(qǐng)求趨勢(shì)基本相同陪白。
根據(jù)近一個(gè)月內(nèi)該Zombie Keeper每天的活躍時(shí)間,繪制如上的時(shí)間矩陣圖膳灶,橫軸為日期咱士,縱軸為小時(shí)。將不同天的數(shù)據(jù)重疊到一天轧钓,每個(gè)小時(shí)在不同天出現(xiàn)的次數(shù)越多序厉,顏色越深,從而推斷出攻擊者每天最活躍時(shí)間為20點(diǎn)左右持續(xù)到次日早8點(diǎn)左右毕箍。顯然攻擊者不是處于UTC/GMT+8時(shí)區(qū)弛房,經(jīng)過(guò)不斷變化時(shí)區(qū)來(lái)擬合數(shù)據(jù),最終發(fā)現(xiàn)當(dāng)采用UTC/GMT-5時(shí)區(qū)時(shí)而柑,不僅最活躍時(shí)間符合作息規(guī)律文捶,且其他所有數(shù)據(jù)也都驚人的吻合荷逞。
這也印證了前文提到的該Zombie Keeper在1226-1229的停止活動(dòng)行為,事實(shí)上或許是攻擊者在UTC/GMT-5時(shí)區(qū)下1225-1228期間去圣誕度假了粹排。
自查方法
1.查看前臺(tái)頁(yè)面是否被插入如下類(lèi)型或其它異常的JS代碼;
2.查看后臺(tái)源碼是否被修改种远,特別是上述框架文件;
3.查看后臺(tái)是否新增異常的源碼文件,是否新增js目錄及jquery.min.php等;
4.查看站點(diǎn)訪問(wèn)記錄是否存在暴力破解等異常訪問(wèn)顽耳。
修復(fù)建議
1.審核是否有可疑的新增用戶坠敷,修改站點(diǎn)密碼;
2.清除新增或修改的可疑代碼斧抱;
3.清理不再使用的插件常拓,升級(jí)CMS及第三方插件到最新版本;
4.增加如防暴力破解辉浦,WAF等安全防護(hù)措施弄抬;
5.阿里云用戶可以開(kāi)通云盾安全托管,安全專家?guī)湍挪椋?/p>
總結(jié)
綜合上述分析和數(shù)據(jù)宪郊,發(fā)現(xiàn)BBOSS組織有如下特點(diǎn):
1.控制超過(guò)12萬(wàn)網(wǎng)站掂恕,影響范圍輻射全球;
2.技術(shù)架構(gòu)體系高度成熟,多級(jí)分層弛槐,更易控制和隱藏懊亡,有很強(qiáng)的攻防對(duì)抗意識(shí);
3.業(yè)務(wù)靈活,高可配置乎串,不定期更新店枣;
4.危害范圍極大,影響數(shù)以千萬(wàn)互聯(lián)網(wǎng)用戶叹誉。
事實(shí)上BBOSS組織的攻擊手法和活動(dòng)行為遠(yuǎn)比本報(bào)告所述要復(fù)雜鸯两,相信截止目也只是管中窺豹看到了冰山一角。阿里安全威脅情報(bào)中心將持續(xù)追蹤并監(jiān)測(cè)該事件的發(fā)展长豁,同時(shí)ASRC(security.alibaba.com)現(xiàn)已正式推出威脅情報(bào)獎(jiǎng)勵(lì)計(jì)劃钧唐,如有相關(guān)情報(bào)線索,歡迎各位提交匠襟!
