# 漏洞挂马网站趋势分析

腾讯电脑管家浏览器漏洞防御模块上报的数据显示，自7月起，拦截到的挂马网页地址数量发生了急剧增长。通过进一步分析发现，这批木马不仅可以在用户电脑中安装大量的推广软件，甚至还有可能进行盗号等恶意行为，给用户的电脑和帐号带来风险。

使用浏览器漏洞挂马是目前互联网上最常用的攻击手段。它利用了IE等浏览器在开发过程中遗留的一些缺陷，可以在用户不知情的情况下运行攻击者指定的恶意程序。由于去年4月微软已经停止对Windows XP系统的维护，这就意味着微软不会在再对后来的公开漏洞发布任何安全更新，所以一些已经公布的漏洞在XP系统中还将长期存在。正因为如此，漏洞挂马已经被很多黑色产业利用，用于在未打补丁的系统中自动执行恶意程序。通过梳理腾讯电脑管家近期对挂马网页的拦截数据，我们可以一窥黑色产业的内幕。

0x00 影响范围
=========

* * *

7月以来，使用漏洞进行挂马的网页呈现明显的增长态势，目前每日拦截的网址已经超过3000个。

![enter image description here](http://drops.javaweb.org/uploads/images/c21118079a0b3f6d47062c9ee3b45d8c1e643757.jpg)

从用户分布地域上来看，受害用户较多的地区为广东、山东、河南、河北、江苏等省。

![enter image description here](http://drops.javaweb.org/uploads/images/c714f763b4c4873a1b7ee29a5ba3b614d90548d1.jpg)

0x01 挂马网站
=========

* * *

大部分漏洞的利用原理是使用浏览器脚本进行攻击，所以攻击者第一步需要在网页里埋伏下对应的攻击脚本，然后等待用户访问网页时触发。

从网站类型上来看，攻击者一般是自建一些导航类或色情类的网站，吸引用户主动访问。也有一些攻击者会先购买大型网站上的广告位，然后在用户浏览广告的时候悄悄触发。

![enter image description here](http://drops.javaweb.org/uploads/images/da5fa2b4b45e3992f88f79cafcf07de687f4ba18.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/4311d162f5874b09d05ee9b8457832ace537bc12.jpg)

取一天的数据，可以看到恶意网址在一天内被拦截的时间分布情况，从8点之后拦截挂马网页的数据持续稳定，在中午2点和半夜11点出现了两个顶峰：

![enter image description here](http://drops.javaweb.org/uploads/images/a231ae7d2e94d6445161499203191053589d2866.jpg)

0x02 后门木马
=========

* * *

用户访问被挂马的网站后，VB脚本会自动执行并且从指定的位置将恶意程序下载到用户的电脑上运行。以其中数量最多的一个木马为例：

该木马在网页上的名称叫做cale.exe（与系统程序calc.exe很相近），而下载之后保存到硬盘上的名称叫做putty.exe（与知名的网络连接工具名称一致）。

该木马首先会通过taskkill、VirtualFreeEx破坏进程、映像劫持等多种方式，结束电脑中的安全软件。

![enter image description here](http://drops.javaweb.org/uploads/images/2d5c3bd6fe2fa92b77029b08086952fa77bec02a.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/85f1417b8cddc4e901aa95788a49c43cd41e172d.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/7f1c58bd4af1b46df5decb11df9c85f3facd0a98.jpg)

接下来，木马会释放一个驱动，该驱动会恢复atapi的IdePortDispatchDeviceControl ，IdePortDispatch两个ioctl dispatch，用于对抗网吧还原软件。然后发送srb穿透还原软件，把自身写入磁盘，达到永久驻留的目的。

![enter image description here](http://drops.javaweb.org/uploads/images/1f5743a6adbab8b44e12db87db23b6172fab282f.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/26caba057e05db9204f2d7eb487407950ff46c27.jpg)

同时，木马会访问一个网络地址，获取接下来要下载的木马文件，依次执行。使用网络地址的目的在于，木马作者可以随时替换其中的内容，达到不同的控制目的，实际效果等同于一个简单的后门。在分析木马的时候，该地址返回的内容如下：

![enter image description here](http://drops.javaweb.org/uploads/images/8991777431e6f817883de1b10c8a7dcc1ee4ee32.jpg)

经分析，这些链接中的木马会继续进行盗号等进一步的恶意行为。

0x03 盗号木马
=========

* * *

我们选择前文链接中一个比较有特点的盗号木马进行分析。

该木马启动以后，首先在windows目录释放一个可执行文件，名字为随机生成。

然后结束有关于QQ软件的一切进程，迫使用户重新启动QQ。

![enter image description here](http://drops.javaweb.org/uploads/images/7eff08337896f4cbdea38182e5e3018e73a5f91e.jpg)

接着该木马进入一个无限循环，用于监控用户重启QQ的操作。循环中每隔100毫秒枚举一次当前进程，如果发现了有QQ进程，表明用户重新启动了QQ，则立即结束掉真正的QQ进程，而启动刚刚释放的可执行文件进行代替。

![enter image description here](http://drops.javaweb.org/uploads/images/7e07eaa6f4e55d982441953b2a280e603113f965.jpg)

这个可执行文件的作用就是使用一个伪装的QQ登录窗口，欺骗用户在其中输入QQ号和密码。可以看到，这个登陆窗口确实做得很逼真，大量细节也很到位，跟真正的登录窗口基本无法分辨，用户很容易上当，以为是真的QQ登录窗口。

![enter image description here](http://drops.javaweb.org/uploads/images/ac6b78d0a0c2f99d4cf9ac66b681d97c386edd53.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/8dd0a1756396b0db4cf02ca697affaeaf1bd58f5.jpg)

当用户输入了QQ号密码点击登陆以后，木马会悄悄把内容记录下来，以HTTP GET的方式，上传到木马作者的服务器上。如图，假设输入QQ号：111111111 密码：22222222：

![enter image description here](http://drops.javaweb.org/uploads/images/ecaab5bfd9b21da04b60133cade7883c5089389c.jpg)

可以看出，Windows目录下的这个可执行文件才是木马最关键的恶意行为的载体，之前的手段包括网页挂马、躲避杀软，躲避还原软件，驻留等等，都是为了这个最终的木马扫清障碍。可见现在木马分工极其明确，各个模块都有各自的职责。

0x04 广告推广
=========

* * *

除此之外，还有一些网页挂马后下载的木马的作用是推广软件。当访问这些网页以后，过一会儿电脑中就会多出各种各样的软件，木马作者通过安装软件，向软件作者索要推广费用从而获利。下图是安装此类木马一段时间之后，桌面上多出来的软件快捷方式和推广软件的界面：

![enter image description here](http://drops.javaweb.org/uploads/images/7ae6fada2874ecd1058e8f2fbce65bf4b0162bfa.jpg)