近日,广东省教育厅官网发布一则声明,其短信平台被入侵,对外发送非法链接短信。我们对这一事件进行了初步跟进分析。
根据网友反应的信息,所发布的链接为x.lx2.com(当前已经无法访问)。我公司大狗产品于2024-10-12 05:32:38捕获该链接并对样本进行截图。截图内容于上述短信所传播的非法内容相吻合。
根据图中信息,可以得出,当我们打开h**p://x.lx2.com时,实际上发生了多次跳转行为:
h**p://x.lx2.com –> h**p://dl2-1.ds.51daba.com.cn –> cname –> g6cd0f4.cdn.rongyimv.com –> 116.62.22.168
目标使用了cdn,实际也可能解析至其它IP,例如:
h**p://x.lx2.com –> h**p://dl2-1.ds.51daba.com.cn –> cname –> g6cd0f4.cdn.hongrenz.cn –> 121.40.175.129
问题:lx2.com,51daba.com.cn,rongyimv.com,hongrenz.cn这类域名存在备案,依然用于非法内容传播,是被入侵了吗?
这些备案域名用于传播非法内容,存在几种可能:
a. 购买的域名,进行备案,用于非法活动
b. 域名过期,备案未注销,被抢注用于非法活动
c. 子域名的网站被入侵,用于非法活动
d. 子域名解析被控制指向非法地址,用于非法活动
e. 备案域名的二级域名出租业务
首先,以上域名中,lx2.com,51daba.com.cn,hongrenz.cn 网站首页依然可以正常访问,网站备案状态正常,从历史的域名注册记录与备案记录来看,可以排除a、b的情况,从解析记录来看,例如dl2-1.ds.51daba.com.cn的解析指向了g6cd0f4.cdn.hongrenz.cn,说明是域名解析记录被更改,而非网站被入侵后因为内容更改发生的跳转,可以排除c。至于d和e,目前暂无证据表明是这类子域名指向非法活动的地址是被“入侵”还是背后产生了“域名出租”活动所致,从我们情报平台的数据来看,《备案二级域名出租》活动在黑灰产里是时常发生的。
通过群发短信来传播内容,是一种典型的引流行为。引流活动通常需要规模化,往往由专业的引流团队来操作。那么,我们可以是否可以观测到本次引流团伙在此之前的活动情况呢?
这里我们使用大狗平台的《样本聚类》功能,通过引流的“色情网站”的特征进行样本的关联,可以得到该团伙使用的域名约65条记录(如图:目标点)。
我们任意选择其中一个节点,通过截图,可以看出,网站除了颜色与本次事件不一致,在网页布局及引流的内容上相一致,印证为同一团伙所为。
我们对这些网站出现的时间进行分析,可以看到,第一次在我们平台出现该样本的时间为2023年9月21日,此后每月均有一些新地址出现。在今年4、5、6月出现较多。
经过对这些非法链接的分析,我们发现,该引流团伙不仅仅通过获得备案的二级域名来进行引流,同时大量通过政企网站的漏洞,向政企网站上传“资源”,并且利用这些“资源”来跳转至非法内容进行引流。对这些非法链接滥用的资源,我们进行罗列如下(对依然存活的资源文件名隐藏若干位,相关单位可自行根据部分文件名进行排查):
地址 |
涉及单位 |
状态 |
https://wesalon.student.tsinghua.edu.cn/v3/upload//1728302525567854776-Qbg******sh.html?code=ibmuyqmcmR |
清华大学 |
存活 |
https://tpo-oss.xdf.cn/itsLibrary/upload/classInTask/990465*****82176.bmp?code=mlodq3OQLHS&QYy |
新东方 |
存活 |
https://s5.51cto.com/images/blog/front/202405/b2092ee68da2b7373d3654d0ad9b683a3f6055.svg?code=QXEnVzkB3dP&1GF |
51CTO |
失效 |
https://image.tianyancha.com/tmp/access/sts/24081601/feedba****61.html?code=H3yCrHPNHd&iua |
天眼查 |
存活 |
https://m.weibo.cn/api/scheme?scheme=sinaweibo://browser?url=https://env-00jxgwng2fkk-static.normal.cloudstatic.cn/mp.weixin.qq.com/s_index.html?id=IVxm6p2BT8G7 |
微博 |
失效(已修复) |
https://file9.caigou.com.cn/2024/8/2024080220544573520.html?Mork=lzibkx&a=1722942671&Ndi |
教育装备采购网 |
失效 |
https://file.shenlanbao.com/2024/05/13/1239685*******056.bmp?code=QDo3MgOojRd&S7Y/ |
深蓝保 |
存活 |
https://efficient-center.tianyancha.com/nck/oeiurhy.xml?code=Z7Zuy0Tob7J&qLg |
天眼查 |
失效 |
https://7-mopower-private.7moor.com/1813/upload32c3606c03a1b56ebc0039c28568d92b.xml?code=BU5xp2nSDHV&egV |
七陌科技 |
失效 |
https://jindi-oss-test2.oss-cn-beijing.aliyuncs.com/tmp/access/sts/24081602/feedba****7.html?code=yLE2leS1bM |
阿里云 |
存活 |
https://qf45zgt2dy.tos-cn-shanghai.volces.com/taizifullq/t*****ic.html?code=HlG5IMn38h |
北京火山引擎科技有限公司 |
存活 |
https://telu****.mengniu.com.cn |
蒙牛 |
失效 |
https://kids.nosdn.127.net/kids/test/17212****6.html?code=xfd3gv6rJe |
广州网易计算机系统有限公司 |
存活 |
https://img.zhitongcaijing.com/user_accusation/user_12v****W.html?code=KDwAGivjWH |
深圳智通财经信息科技服务有限公司 |
存活 |
已使用手段分析:
名称 |
描述 |
处理措施 |
上传任意HTML |
受害网站允许用户上传HTML资源,上传后的HTML被用于跳转至非法链接 |
排查网站上传点,禁止上传HTML、SVG、XML等类型文件 |
上传XML |
受害网站允许用户上传XML资源,上传后的XML被用于跳转至非法链接 |
排查网站上传点,禁止上传HTML、SVG、XML等类型文件 |
上传SVG |
受害网站允许用户上传SVG图片资源,上传后的SVG被用于跳转至非法链接 |
排查网站上传点,禁止上传HTML、SVG、XML等类型文件 |
上传内容未检测 |
新东方的案例中,后缀为bmp,内容为svg,导致上传后的bmp被用于跳转至非法链接 |
排查网站上传点,检测上传资源内容,避免被解析为SVG |
OSS域名接管 |
蒙牛案例中,企业绑定子域名至oss资源,oss资源被回收后,域名未解绑,攻击者注册oss资源进行接管,从而控制目标企业域名 |
将绑定至过期OSS资源的域名解析删除 |
OSS资源解析为HTML |
按OSS监管要求,OSS托管的html不允许被解析,但上述案例中依然存在被解析的情况 |
不确定是绕过了云的规则,或是在规则生效前已上传的html资源,需要删除处理 |
伪协议利用 |
在微博案例中,利用手机APP提供的伪协议进行跳转 |
手机APP涉及跳转的代码对传入的url进行合法性检测,并避免出现常见的url判断问题,例如判断是否包含你的域名,容易被https://非法域名/合法域名/xxx.html绕过。 |
一来,我们可以看到该引流团伙广泛的滥用各个单位及企业的上传接口来搞事情。
二是,该团伙使用了OSS域名接管等较为“专业”的手法,此外在此前的案例中我们碰到一些使用网站跨站脚本漏洞,也有使用一些令人“惊艳”的绕过手段,推测该引流团伙背后,应该有较为“专业”的“研究”人员负责提供此类“漏洞”。
三是,我们所获得的样本只是一部分,应该还有较多的未在名单内的企业也遭受此类问题,建议企业自查。
推测的架构
从整个事件中,我们不仅仅是从“短信平台被入侵”中看到了黑客的影子,通过进一步分析引流中所使用的技术手段,我们也看到了黑客有参与提供漏洞的痕迹,可能大致分工如下:
随着防控手段的加强,如果延长域名的生存周期,成为诈骗、引流的关键点,滥用备案合法的域名成为诸多非法网络犯罪活动中主流手法。我们可以看到备案域名的出售价格,远高于常规域名价格,这中间的利益趋势更多的人参与到域名转卖、出租活动中来,值得我们关注。
同时,因为备案域名的稀缺性,使得犯罪团伙开始大量把目光转向对如何利用正规网站的漏洞。并且,由于前述的被“滥用”的问题,通常属于较小的安全问题,得不到网站建设者的重视,使得犯罪团伙有较好的机会发现并长期利用这些漏洞,被滥用的网站资源,最终无形中成为网络犯罪的帮凶,并且因其域名的合法性绕过了诸多防护措施,极大提升了犯罪的成功率。
原文始发于微信公众号(无糖反网络犯罪研究中心):广东省教育厅短信事件分析:大量企业域名遭滥用