近期，騰訊安全風(fēng)控平臺團(tuán)隊在治理外鏈安全時發(fā)現(xiàn)某協(xié)會網(wǎng)站下突增數(shù)十萬個子域名，且訪問這些子域名均會跳轉(zhuǎn)到付費色情網(wǎng)站；某省司法廳網(wǎng)站也存在類似情形，點擊其主站下方鏈接將會跳轉(zhuǎn)到色情網(wǎng)站。經(jīng)過分析發(fā)現(xiàn)，這些網(wǎng)站存在子域名接管漏洞和上傳漏洞，被黑產(chǎn)發(fā)現(xiàn)并利用，而存在類似問題的企業(yè)政府網(wǎng)站達(dá)到數(shù)千家。

子域名接管與文件上傳漏洞利用堪稱“黑產(chǎn)跳板”，其存在一些典型特征，下文將結(jié)合案例具體分析：

案例一：DNS通配符“引爆”60萬色情子域名

近期，某協(xié)會網(wǎng)站流量突然異常起來，訪問量暴增數(shù)萬倍，子域名數(shù)量更是達(dá)到驚人的60多萬。如圖1.1所示，經(jīng)過分析發(fā)現(xiàn)，雖然主站訪問正常，但是其子域名均會跳轉(zhuǎn)到需要付費觀看的色情網(wǎng)站。

圖1.1 出現(xiàn)異常告警的某協(xié)會網(wǎng)站除少數(shù)屬于正常流量外，其他均跳轉(zhuǎn)到色情網(wǎng)站

如圖1.2所示，經(jīng)過對該協(xié)會解析的DNS記錄分析發(fā)現(xiàn)，該域名下所有子域名解析的IP一共有兩個，其中120.***.***.244 下解析的子域數(shù)量只有不到10個，均為正常網(wǎng)站，另一個49.***.***.7解析的子域數(shù)量高達(dá)60多萬，均為色情網(wǎng)站，并且這些子域名有著很強(qiáng)的特征，一看就是隨機(jī)生成的。

圖1.2 某協(xié)會網(wǎng)站下子域名解析的IP地址統(tǒng)計

案例二：圖片文件隱藏的"特洛伊木馬"攻擊

在訪問某瀏覽器網(wǎng)站下的圖片鏈接時，莫名其妙打開了一個色情網(wǎng)站；通過wget命令把這個圖片下了過來，發(fā)現(xiàn)整體大小只有17.6KB，像素為10×10，瀏覽時沒啥有效信息，如圖1.3所示。當(dāng)用戶點擊看似無害的10×10像素“圖片”時，實際已觸發(fā)隱藏在文件尾部的JS炸彈：這個圖片原來只有文件頭是圖像，后面嵌入了一整個網(wǎng)頁信息，訪問時觸發(fā)JS控制，重寫頁面展示惡意內(nèi)容，如圖1.4所示。

圖 1.3 圖像沒有啥有效信息

圖 1.4 只有文件頭是圖像相關(guān)的，后面嵌入了整個網(wǎng)頁

案例三：假冒圖片文件植入“特洛伊木馬”攻擊

在訪問某知名牛奶公司網(wǎng)站下的圖片鏈接時，也跳轉(zhuǎn)到了一個色情網(wǎng)站；通過wget命令把這個圖片下載下來，發(fā)現(xiàn)只有文件后綴是圖片，實際內(nèi)容是一個網(wǎng)頁信息，訪問時會觸發(fā)JS控制，重寫頁面展示惡意內(nèi)容，如圖1.5所示。

圖 1.5 只有文件后綴是圖片后綴，實際內(nèi)容是網(wǎng)頁

案例四：空白頁面的JS重定向陷阱

在訪問某省司法廳下的鏈接時，也跳轉(zhuǎn)到了一個色情網(wǎng)站；通過觀察該鏈接的源代碼，發(fā)現(xiàn)該源代碼非常簡潔，幾乎是一個空白頁面，但訪問時會觸發(fā)JS控制，重定向到另外一個色情網(wǎng)站，如圖1.6所示。

圖1.6 鏈接內(nèi)容幾乎空白，通過JS控制頁面實際內(nèi)容

通過對上述四個案例展開深入分析，可總結(jié)出如下漏洞趨勢：案例一中的網(wǎng)站存在子域名接管漏洞，案例二至四的網(wǎng)站存在文件上傳漏洞，這些漏洞被黑灰產(chǎn)發(fā)現(xiàn)并利用，網(wǎng)站也間接地成為了黑產(chǎn)幫兇。如圖1.7所示，截至6月5日已經(jīng)有超過1千家企業(yè)、政府網(wǎng)站存在漏洞而被黑產(chǎn)利用。

圖1.7 因存在漏洞被黑產(chǎn)利用的企業(yè)政府網(wǎng)站數(shù)量增長趨勢

被遺忘的DNS記錄

如何淪為黑產(chǎn)溫床？

子域接管是指注冊一個新的域名以獲取對另外一個域名控制權(quán)。這個過程最常見的場景如下：

域名使用CNAME記錄指向另外一個域名，例如，sub.test_a.com CNAME test_b.com。

● 在某一時間，test_b.com因過期使得任何人都可以注冊。

●由于test_a.com的CNAME記錄并沒有清除，因此注冊test_b.com的人可以完全控制sub.test_a.com。

CNAME記錄接管是當(dāng)前外鏈安全中最常見的一種子域接管漏洞，尤其是通過DNS通配符生成的子域接管尤其嚴(yán)重。DNS通配符記錄使得未明確指定的子域名都指向一個通用地址，這個地址可以是一個IP地址，也可能是一個CNAME記錄。例如案例一分析就是DNS通配符所引發(fā)的，具體過程如圖2.1所示，包含以下3個階段。

圖2.1 子域名接管漏洞出現(xiàn)的幾個階段

早期，該協(xié)會網(wǎng)站曾經(jīng)部署在IP49.***.***.7上面，并配置了通用的DNS解析記錄*.***da.cn指向IP49.***.***.7。

●其后，該協(xié)會把網(wǎng)站遷移到了IP120.***.***.244，但忘記刪除歷史的DNS解析記錄（*.***da.cn指向IP49.***.***.7）。這樣就導(dǎo)致除了該協(xié)會網(wǎng)站預(yù)設(shè)的子域名外，其余的子域名都會解析到49.***.***.7這個IP下面。

黑產(chǎn)在發(fā)現(xiàn)這個問題之后，發(fā)現(xiàn)49.***.***.7是某云平臺的IP，還沒有被占用，于是將該IP注冊，并在上面搭建了大量的色情頁面。黑產(chǎn)通過各種渠道大肆傳播可以解析到49.***.***.7的子域名。這導(dǎo)致該協(xié)會域名下資源訪問熱度和子域名數(shù)量出現(xiàn)爆炸性增長。

除了CNAME子域接管漏洞外，還有NS子域名接管漏洞和MX子域名劫持，這里不做詳細(xì)闡述。子域接管漏洞所導(dǎo)致的后果十分嚴(yán)重，黑灰產(chǎn)可以利用子域接管經(jīng)正規(guī)域名訪問釣魚網(wǎng)站、違規(guī)收集個人信息，損害正規(guī)域名的品牌信譽。

騰訊安全已經(jīng)發(fā)現(xiàn)超過千家企業(yè)網(wǎng)站存在子域接管漏洞，并且被黑灰產(chǎn)利用，生成了超過千萬的虛假紅包的子域名。這類黑產(chǎn)，通常以“海底撈新店開業(yè)”“海底撈上市”“海底撈粉絲回饋”等名義，傳播一些虛假紅包鏈接，要求用戶轉(zhuǎn)發(fā)和分享后才可以提現(xiàn)，如圖2.2所示。但實際上，這是一種典型的騙局，黑產(chǎn)的目的是誘導(dǎo)用戶轉(zhuǎn)發(fā)獲取流量以及個人信息，引導(dǎo)用戶關(guān)注黑灰產(chǎn)控制的公眾號資源，再利用這些資源傳播色情和詐騙內(nèi)容，誘導(dǎo)用戶充值，以此來非法牟利。

圖2.2 通過子域名接管漏洞大量傳播仿冒海底撈虛假紅包

如圖2.3所示，通過子域接管漏洞傳播虛假紅包背后的黑灰產(chǎn)作惡流程主要包含以下幾個步驟。

圖2.3 通過子域接管漏洞傳播虛假紅包背后的黑灰產(chǎn)作惡流程

用戶瀏覽黑產(chǎn)通過子域名接管漏洞接管的企業(yè)子域名下面的某個頁面，這個頁面實際上是一個空白頁面，只執(zhí)行特定的JS。

●這個特定的JS首先會執(zhí)行平臺檢測，如果非指定平臺，則會重定向到一些知名的大站。如果是在指定平臺上訪問的話，則執(zhí)行下一步。

●特定的JS會向黑產(chǎn)搭建的服務(wù)器后臺發(fā)起請求，獲取虛假紅包頁面。

●在接收到黑產(chǎn)后臺返回的響應(yīng)內(nèi)容后，JS會清空當(dāng)前頁面，根據(jù)返回的信息重繪當(dāng)前頁面，或者重定向到另外一個頁面。

●用戶現(xiàn)在看到的就是虛假紅包頁面，會根據(jù)頁面的相關(guān)指引進(jìn)行后續(xù)分享、關(guān)注某些公眾號資源或者在網(wǎng)站上登記相關(guān)個人信息。

同時，通過網(wǎng)址關(guān)系鏈技術(shù)，我們發(fā)現(xiàn)這些仿冒海底撈紅包的子域名最后指向的資源，存在高度的聚集性，呈現(xiàn)明顯的團(tuán)伙性質(zhì)，如圖2.4所示，橙色部分為用戶瀏覽傳播的仿冒海底撈虛假紅包的子域名，藍(lán)色部分為重定向或者黑產(chǎn)后臺服務(wù)相關(guān)的子域名。通過對藍(lán)色部分的持續(xù)監(jiān)控，我們就可以不斷獲取黑產(chǎn)新投入的仿冒海底撈虛假紅包的子域名。

圖2.4 通過子域接管漏洞傳播虛假紅包團(tuán)伙分析

子域名安全防護(hù)“六步法”

為了預(yù)防子域名接管漏洞的發(fā)生，可以采用以下綜合措施：

定期審查子域名與DNS記錄。可以使用工具定期掃描所有子域名，建立完整的資產(chǎn)清單。并及時刪除不再使用的子域名或更新其DNS記錄，避免指向失效的第三方服務(wù)。

●強(qiáng)化DNS配置。通過DNS安全擴(kuò)展防止DNS劫持，確保解析結(jié)果的真實性和完整性。此外也可以應(yīng)用最小權(quán)限言責(zé)，避免過度授權(quán)。

●監(jiān)控與自動化防護(hù)。實時監(jiān)控DNS記錄變更，設(shè)置告警機(jī)制。此外還可以應(yīng)用對應(yīng)工具定期檢測漏洞。

●第三方服務(wù)管理。驗證第三方服務(wù)的所有權(quán)，即便服務(wù)停用，在第三方平臺保留占位頁面或保留資源所有權(quán)。

●安全策略與培訓(xùn)。為所有的子域名強(qiáng)制HTTPS、HSTS和內(nèi)容安全策略。并增強(qiáng)管理員和開發(fā)人員的風(fēng)險意識。

●應(yīng)急響應(yīng)。明確安全事件的處置步驟，定期備份DNS區(qū)域文件，確保可快速回滾至安全狀態(tài)。

文件校驗不全

政企官網(wǎng)成了黑產(chǎn)“馬甲”

案例二至四就是典型的上傳漏洞引起的問題，如圖3.1所示，文件上傳漏洞被利用的情況大致可以分為以下幾種：

●文件上傳接口沒有校驗上傳文件的類型，在這種情況下，本來只應(yīng)該接收圖片格式的文件上傳接口，被用戶上傳了HTML文件。

●文件上傳接口只校驗上傳文件的后綴，在這種情況下，本來只應(yīng)該接收圖片格式的文件上傳接口，被用戶上傳了HTML文件，但只是后綴改成了PNG。

●文件上傳接口只校驗上傳文件的文件頭，在這種情況下，用戶可以只調(diào)整文件頭和后綴，文件頭后的實際內(nèi)容為HTML內(nèi)容。

圖3.1 文件上傳漏洞的幾種情況

如圖3.2所示，黑產(chǎn)通過文件上傳漏洞作惡的基本流程如包括以下幾個步驟：

圖3.2 黑產(chǎn)利用文件上傳漏洞上傳惡意HTML作惡的流程

用戶瀏覽黑產(chǎn)通過文件上傳漏洞上傳的引流頁面，這個頁面實際上是一個空白頁面，只執(zhí)行特定的JS。

●特定的JS首先執(zhí)行調(diào)試模式檢測，如果是調(diào)試模式，則終端整個流程。非調(diào)試模式，則執(zhí)行下一步。

●特定的JS執(zhí)行平臺檢測，如果不在指定平臺范圍內(nèi)，則會重定向到一些知名的大站。如果是指定平臺，則執(zhí)行下一步。

●JS向黑產(chǎn)的后臺發(fā)起請求。

●黑產(chǎn)后臺處理請求，并返回需要重繪的頁面，由JS完成頁面重繪。

●用戶點擊重繪頁面中的按鈕，再次向黑產(chǎn)后臺發(fā)起新的請求。

●黑產(chǎn)后臺處理相關(guān)的請求，計算得到重定向的目標(biāo)網(wǎng)站。

●黑產(chǎn)后臺返回重定向的目標(biāo)網(wǎng)站。

●用戶終端重定向到目標(biāo)網(wǎng)站。

●用戶繼續(xù)觀看目標(biāo)網(wǎng)站上的惡意內(nèi)容，進(jìn)行分享觀看及購買等相關(guān)操作。

經(jīng)過上述作惡流程分析，我們發(fā)現(xiàn)很多色情網(wǎng)站可能有統(tǒng)一的后臺。通過網(wǎng)址關(guān)系鏈技術(shù)，我們發(fā)現(xiàn)，一周內(nèi)發(fā)現(xiàn)具有上述作惡特征的站點達(dá)到186萬個，涉及超過2.1萬個域名。其中除了黑產(chǎn)自建的網(wǎng)站之外，黑產(chǎn)也會應(yīng)用一些企業(yè)網(wǎng)站的文件上傳漏洞來傳播惡意內(nèi)容，本次發(fā)現(xiàn)超過360個政企網(wǎng)站和少數(shù)個人網(wǎng)站存在文件上傳漏洞且被黑產(chǎn)利用，如圖3.3所示，由于涉及很多正規(guī)網(wǎng)站，這對我們的打擊策略有了更高的要求。

圖 3.3 文件上傳漏洞背后黑灰產(chǎn)團(tuán)伙分析

文件上傳漏洞

“四重防護(hù)盾”構(gòu)建

預(yù)防文件上傳漏洞可以從文件校驗、存儲安全、服務(wù)器配置和監(jiān)控審計等多方面入手。

●文件校驗：白名單校驗，僅允許特定擴(kuò)展名，避免黑名單方式，但這種容易被繞過；MIME類型校驗，檢查Content-Type，防止偽造文件類型；文件內(nèi)容檢查，通過文件頭驗證真實格式；文件大小限制，如限制在2MB以內(nèi)。

●存儲安全：隨機(jī)重命名，生成隨機(jī)文件名，避免路徑預(yù)測或覆蓋；非Web目錄存儲，上傳文件保存到不可以直接訪問的目錄；禁用執(zhí)行權(quán)限，通過服務(wù)器配置禁止上傳目錄解析腳本。

●服務(wù)器配置：獨立文件服務(wù)器，使用單獨域名/CDN分發(fā)文件，利用同源策略限制攻擊；禁用危險函數(shù)，如PHP的system、exec等；HTTPS傳輸，防止上傳過程被篡改。

●監(jiān)控與審計：病毒掃描，使用工具掃描上傳文件；日志記錄，記錄所有上傳操作，方便追蹤異常行為；定期檢查，審計上傳內(nèi)容和服務(wù)器日志。

當(dāng)前，騰訊安全團(tuán)隊已在騰訊系產(chǎn)品上針對存在發(fā)現(xiàn)的仿冒海底撈虛假紅包和支付類色情的外鏈進(jìn)行了處理，但是黑產(chǎn)的作惡收到和方法一直處于快速的變化中。騰訊安全建議所有用戶不要訪問風(fēng)險外鏈，避免上當(dāng)受騙，同時也建議網(wǎng)站管理員根據(jù)漏洞防范方法做好網(wǎng)站的安全管理工作，避免網(wǎng)站被黑灰產(chǎn)利用。