“大发111888非法赌博组织”IIS恶意劫持流量模块分析报告

近期，404积极防御实验室通过创宇安全大脑——业务安全舆情监控平台陆续监测并预警了65所学校、政府及科研机构的学报和期刊系统存在相同的非法赌博广告页面。受影响的网站都使用某公司开发的期刊采编系统，该系统在高校、科研领域广泛应用。

涉及此次事件的“大发111888非法赌博组织”早在3年前就已存在，近期开始活跃。

“大发111888非法赌博组织”通过将非法赌博广告页面植入到其他网站做seo优化，进一步让搜索引擎收录这些页面，利用搜索引擎的权重机制来提高博·彩网站的排名和曝光度。如下图，百度收录了某高校网站的非法赌博页面：

直接点击搜索结果，可正常访问到非法赌博页面：

图2 非法赌博页面

为进一步分析该黑客组织发动攻击的方式，获取到某大学的授权后，知道创宇404积极防御实验室在2021年1月15日至1月19日期间，对该校网站服务器的网站源文件、网络流量、进程行为和Web日志等进行综合分析，发现该黑产组织在服务器的IIS上加载了恶意模块，当收到特定的HTTP请求时，该模块会从远程拉取非法赌博页面，最终呈现给用户浏览器。

图3 恶意模块工作流程

该模块隐蔽性较强，目前大多杀毒软件都还未能检测到，下图为VirusTotal对样本的检测结果：

图4  VirusTotal检测结果

本次被分析的网站服务器装已安装杀毒软件、EDR监控Agent、态势感知系统等安全软件，但对这些安全软件的日志分析后，未发现针对植入非法赌博页面的告警，初步结论是非法赌博页面以某种可绕过安全设备检测的方式存在于服务器上。

通过对网站目录进行彻底排查，我们发现：

1、未发现网站被植入Webshell；

2、网站目录中也未出现非法赌博页面；

3、由于网站是通过编译后的二进制形式运行的，研究人员通过逆向分析也未发现后门及网站本身被篡改的迹象；

4、检查了系统加载的驱动，也未发现使用类似Easy File Locker等软件通过加载内核驱动模块的方式隐藏文件。

因此，排除网站本身问题，总结出非法赌博页面存在两个规律：

1.所有以“/20”和“/abc”开头的路径，均可以访问到非法赌博页面，且IIS日志中也记录了成功访问的日志；

2.同服务器上所有网站都以相同规律存在非法赌博页面；

3.IIS的URL Rewrite未做配置；

4.请求Referer包含了“”就能看到非法赌博页面，直接访问则是404错误；

5.在服务器上用测试，可以复现非法赌博页面。

以上的规律让我们怀疑问题出在IIS服务上，又对IIS所有配置彻底排查，但未发现异常的配置。

为了找出产生非法赌博页面的程序，采用Process Monitor对服务器一段时间内的网络连接、文件读取、注册表读取等进程行为捕获。在导出的135,234次进程行为中发现IIS进程有可疑的行为，会主动向IP 45.120.52.65发出HTTP请求：

图5  Process Monitor捕获的进程记录

行为日志如下：

"12:23:15.9151269","w3wp.exe","3036","TCP TCPCopy","WIN-IBPEF1J6BDC:49198 -> 45.120.52.65:http","SUCCESS","Length: 1460, seqnum: 0, connid: 0"

该IP还开放了多个服务端口：

图6 端口探测结果

通过反查域名，发现以下域名指向了该IP：

1.cmdxb.com

13.cmdxb.com

blog.cmdxb.com

ftp.cmdxb.com

mail.cmdxb.com

mx.cmdxb.com

server.cmdxb.com

sx.cmdxb.com

vpn.cmdxb.com

vps.cmdxb.com