“大发111888非法赌博组织”IIS恶意劫持流量模块分析报告(2)

通过域名注册邮箱dafa111888@gmail.com查出该邮箱历史上还注册过其他命名不正常的域名：

图7 该邮箱历史上注册过的其他域名

该邮箱的拼音即“大发”，与被植入的恶意页面标题相符合：

图8 非法赌博网站页面源码

进一步分析域名cmdxb.com的命名，可以看出其中命名规律，cmd意味着命令、控制的意思；xb是“学报”拼音的缩写，疑似黑客对控制目标用域名命名来做了分类。

通过抓包分析，当访问网站某些特殊路径，如以“/20”和“/abc”开头的页面时，IIS会从45.120.52.65上拉取非法赌博页面，最终呈现给访客的浏览器，如图：

图9  Wireshark抓包数据

最后，我们将分析焦点聚集在IIS上，使用“火绒剑”分析IIS进程w3wp.exe，发现IIS加载了一个叫webdac.dll的可疑模块，文件位于C:WindowsSystem32inetsrvwebdac.dll，如图：

图10 进程加载的模块

该文件也是最近才创建的，与其他系统文件时间不匹配：

图 11 webdac.dll 文件属性

研究人员使用Ghidra分析webdac.dll，该模块注册到内存时的模块名叫fuck32.dat，如图：

图12 模块名

当收到对特定路径开头的HTTP请求后，该模块会构造特殊的HTTP请求发向45.120.52.65来获得非法赌博页面：

构造代码片段如下：

图 13 代码片段

通过以上分析，我们将webdac.dll拷贝至实验环境中复现，将模块加载到IIS中：

C:WindowsSystem32inetsrvppcmd.exe install module /name:WebDocModule /image:"C:webdac.dll" /add:true

然后通过curl来复现：

curl 192.168.56.102/20 -e ‘’

效果如下：

图 14 复现结果

学校、政府及科研机构网站一直以来都是非法赌博页面的重灾区，而黑产组织对非法赌博页面植入手段逐渐升级，从早期的篡改网站源码、上传非法赌博页面文件的粗暴方式，发展到现在的通过加载内核驱动模块、IIS模块来植入非法赌博页面，其手段的隐蔽性越来越强，检测难度也越来越大，各单位组织及站长除了要做好网站本身的安全防护，也需要加强主机层面的防护。

目前，知道创宇旗下Websoc、NRD、创宇云图、创宇御点、安全联盟（）已经支持对相关病毒样本，恶意域名进行检测和阻断，创宇盾协同防御机制，已经实现全面识别和阻断该黑客组织的攻击特征。

安全建议

1、重装服务器的操作系统，并第一时间安装安全软件。目前情况只删除IIS的后门意义不大，不排除系统上还有其他的未发现的后门；

2、对同服务器的网站文件进行全面杀毒；

3、邀请专业的安全团队进行全面的应急响应处置，待安全专家对服务器进行全面检查后，接入创宇盾进行常态防御。

文件MD5:

域名：

IP：