Blue Coat 网络安全博客

- 转载Blue Coat WebPulse (云安全)技术的最新动态
- 恶意攻击分析

2010年4月 19日
发表人：申强， 大中华区产品市场经理

“Blue Coat WebFilter (BCWF)”版上的新帖：大量的中国恶意软件

今早在Trotline的实时数据反馈中看到了大量的非常规数据流量。数以百计的域名在数据路径中被编码了很长的字符串，这些域名看上去都非常可疑。

这些编码过的数据看上去可能是中文或日文内容转变而成的16进制代码。（通过快速的解码处理证实了这是中文内容转变的）。

其中有很多域名都含有".gov.cn."这样中国味很浓的字眼。

所有的这些域名都把用户直接带到同一个页面：一个托管在动态DNS站点的中国色情网站。实际上，这是一个“假的色情网站”，因为所有的图片和菜单选项都是恶意软件模仿的简单链接。并且，这个网站还会跳出提示信息让你下载视频播放器软件。

这并不是一种新的攻击方式，但是这样大规模，高频率的攻击是很罕见的。
这次的攻击大约从早上2：00（Trotline时间）开始的，在14个小时候中没有任何暂停的迹象。由于下载的恶意软件已经在数据库中有记录了，BCWF的用户从攻击开始的时候就受到了保护。

这次攻击最值得注意的地方是它是经过精心策划的。这个假的域名是这样的：
+i6im.www.gov.ax.lt
7fz5.gov.cn.timshelton.com
7ur7.gov.cn.ocna-mures.org
hz55.gov.cn.palenke2k.com.ar
mdwh.gov.cn.leftcoastguy.net
jkft.gov.cn.qc.to
mdwh.gov.cn.leftcoastguy.net
ieiu.gov.cn.timshelton.com
um8c.gov.wsfs.gamersmack.com
wqxx.gov.cn.consensusreality.net
i1yo.gov.cn.tempurabuick.com
vfiy.www.gov.us.to+

一些域名有真实的内容，另一些则只是占位符，或者没有响应。在我们检测注册号时，发现这些域名看上去用的都是afraid.org来作为他们的DNS解析。同时，我们也证实了即使在开头输入了4个字符的子域名，同样还是会被引到假的色情页面。这看上去像袭击者在用DNS作为攻击工具。当任何在他们范围内的URL被输入的时候，DNS服务器就会把假色情网页的IP地址返回作为回应。

由于afraid.org已经被使用了很久，我们预计在这次袭击中它们是无意识的（可能是他们被“黑”了）。简单的讲，就是一个被“黑”的DNS服务器帮助那些坏家伙顺利把正常的DNS请求引导到另外的IP地址。如果很多被“黑”的域名并不是经常使用或者看上去流量是正常的，这次攻击就要花更长的时间才会被检测到。

我们已经在对此次攻击的深入调查中，虽然目前为止还有很多工作需要做，但是调查过程是很有意思的。