千家政企網站淪為黑產跳板：子域名接管與文件上傳漏洞深度分析

近期，騰訊安全風控平臺團隊在治理外鏈安全時發現某協會網站下突增數十萬個子域名，且訪問這些子域名均會跳轉到付費色情網站；某省司法廳網站也存在類似情形，點擊其主站下方鏈接將會跳轉到色情網站。經過分析發現，這些網站存在子域名接管漏洞和上傳漏洞，被黑產發現并利用，而存在類似問題的企業政府網站達到數千家。

子域名接管與文件上傳漏洞利用堪稱“黑產跳板”，其存在一些典型特征，下文將結合案例具體分析：

案例一：DNS通配符“引爆”60萬色情子域名

近期，某協會網站流量突然異常起來，訪問量暴增數萬倍，子域名數量更是達到驚人的60多萬。如圖1.1所示，經過分析發現，雖然主站訪問正常，但是其子域名均會跳轉到需要付費觀看的色情網站。

圖1.1 出現異常告警的某協會網站除少數屬于正常流量外，其他均跳轉到色情網站

如圖1.2所示，經過對該協會解析的DNS記錄分析發現，該域名下所有子域名解析的IP一共有兩個，其中120.***.***.244 下解析的子域數量只有不到10個，均為正常網站，另一個49.***.***.7解析的子域數量高達60多萬，均為色情網站，并且這些子域名有著很強的特征，一看就是隨機生成的。

圖1.2 某協會網站下子域名解析的IP地址統計

案例二：圖片文件隱藏的"特洛伊木馬"攻擊

在訪問某瀏覽器網站下的圖片鏈接時，莫名其妙打開了一個色情網站；通過wget命令把這個圖片下了過來，發現整體大小只有17.6KB，像素為10×10，瀏覽時沒啥有效信息，如圖1.3所示。當用戶點擊看似無害的10×10像素“圖片”時，實際已觸發隱藏在文件尾部的JS炸彈：這個圖片原來只有文件頭是圖像，后面嵌入了一整個網頁信息，訪問時觸發JS控制，重寫頁面展示惡意內容，如圖1.4所示。

圖 1.3 圖像沒有啥有效信息

圖 1.4 只有文件頭是圖像相關的，后面嵌入了整個網頁

案例三：假冒圖片文件植入“特洛伊木馬”攻擊

在訪問某知名牛奶公司網站下的圖片鏈接時，也跳轉到了一個色情網站；通過wget命令把這個圖片下載下來，發現只有文件后綴是圖片，實際內容是一個網頁信息，訪問時會觸發JS控制，重寫頁面展示惡意內容，如圖1.5所示。

圖 1.5 只有文件后綴是圖片后綴，實際內容是網頁

案例四：空白頁面的JS重定向陷阱

在訪問某省司法廳下的鏈接時，也跳轉到了一個色情網站；通過觀察該鏈接的源代碼，發現該源代碼非常簡潔，幾乎是一個空白頁面，但訪問時會觸發JS控制，重定向到另外一個色情網站，如圖1.6所示。

圖1.6 鏈接內容幾乎空白，通過JS控制頁面實際內容

通過對上述四個案例展開深入分析，可總結出如下漏洞趨勢：案例一中的網站存在子域名接管漏洞，案例二至四的網站存在文件上傳漏洞，這些漏洞被黑灰產發現并利用，網站也間接地成為了黑產幫兇。如圖1.7所示，截至6月5日已經有超過1千家企業、政府網站存在漏洞而被黑產利用。

圖1.7 因存在漏洞被黑產利用的企業政府網站數量增長趨勢

被遺忘的DNS記錄

如何淪為黑產溫床？

子域接管是指注冊一個新的域名以獲取對另外一個域名控制權。這個過程最常見的場景如下：

域名使用CNAME記錄指向另外一個域名，例如，sub.test_a.com CNAME test_b.com。

● 在某一時間，test_b.com因過期使得任何人都可以注冊。

● 由于test_a.com的CNAME記錄并沒有清除，因此注冊test_b.com的人可以完全控制sub.test_a.com。

CNAME記錄接管是當前外鏈安全中最常見的一種子域接管漏洞，尤其是通過DNS通配符生成的子域接管尤其嚴重。DNS通配符記錄使得未明確指定的子域名都指向一個通用地址，這個地址可以是一個IP地址，也可能是一個CNAME記錄。例如案例一分析就是DNS通配符所引發的，具體過程如圖2.1所示，包含以下3個階段。

圖2.1 子域名接管漏洞出現的幾個階段

早期，該協會網站曾經部署在IP49.***.***.7上面，并配置了通用的DNS解析記錄*.***da.cn指向IP49.***.***.7。

● 其后，該協會把網站遷移到了IP120.***.***.244，但忘記刪除歷史的DNS解析記錄（*.***da.cn指向IP49.***.***.7）。這樣就導致除了該協會網站預設的子域名外，其余的子域名都會解析到49.***.***.7這個IP下面。

黑產在發現這個問題之后，發現49.***.***.7是某云平臺的IP，還沒有被占用，于是將該IP注冊，并在上面搭建了大量的色情頁面。黑產通過各種渠道大肆傳播可以解析到49.***.***.7的子域名。這導致該協會域名下資源訪問熱度和子域名數量出現爆炸性增長。

除了CNAME子域接管漏洞外，還有NS子域名接管漏洞和MX子域名劫持，這里不做詳細闡述。子域接管漏洞所導致的后果十分嚴重，黑灰產可以利用子域接管經正規域名訪問釣魚網站、違規收集個人信息，損害正規域名的品牌信譽。

騰訊安全已經發現超過千家企業網站存在子域接管漏洞，并且被黑灰產利用，生成了超過千萬的虛假紅包的子域名。這類黑產，通常以“海底撈新店開業”“海底撈上市”“海底撈粉絲回饋”等名義，傳播一些虛假紅包鏈接，要求用戶轉發和分享后才可以提現，如圖2.2所示。但實際上，這是一種典型的騙局，黑產的目的是誘導用戶轉發獲取流量以及個人信息，引導用戶關注黑灰產控制的公眾號資源，再利用這些資源傳播色情和詐騙內容，誘導用戶充值，以此來非法牟利。

圖2.2 通過子域名接管漏洞大量傳播仿冒海底撈虛假紅包

如圖2.3所示，通過子域接管漏洞傳播虛假紅包背后的黑灰產作惡流程主要包含以下幾個步驟。

圖2.3 通過子域接管漏洞傳播虛假紅包背后的黑灰產作惡流程

用戶瀏覽黑產通過子域名接管漏洞接管的企業子域名下面的某個頁面，這個頁面實際上是一個空白頁面，只執行特定的JS。

● 這個特定的JS首先會執行平臺檢測，如果非指定平臺，則會重定向到一些知名的大站。如果是在指定平臺上訪問的話，則執行下一步。

● 特定的JS會向黑產搭建的服務器后臺發起請求，獲取虛假紅包頁面。

● 在接收到黑產后臺返回的響應內容后，JS會清空當前頁面，根據返回的信息重繪當前頁面，或者重定向到另外一個頁面。

● 用戶現在看到的就是虛假紅包頁面，會根據頁面的相關指引進行后續分享、關注某些公眾號資源或者在網站上登記相關個人信息。

同時，通過網址關系鏈技術，我們發現這些仿冒海底撈紅包的子域名最后指向的資源，存在高度的聚集性，呈現明顯的團伙性質，如圖2.4所示，橙色部分為用戶瀏覽傳播的仿冒海底撈虛假紅包的子域名，藍色部分為重定向或者黑產后臺服務相關的子域名。通過對藍色部分的持續監控，我們就可以不斷獲取黑產新投入的仿冒海底撈虛假紅包的子域名。

圖2.4 通過子域接管漏洞傳播虛假紅包團伙分析

子域名安全防護“六步法”

為了預防子域名接管漏洞的發生，可以采用以下綜合措施：

定期審查子域名與DNS記錄。可以使用工具定期掃描所有子域名，建立完整的資產清單。并及時刪除不再使用的子域名或更新其DNS記錄，避免指向失效的第三方服務。

● 強化DNS配置。通過DNS安全擴展防止DNS劫持，確保解析結果的真實性和完整性。此外也可以應用最小權限言責，避免過度授權。

● 監控與自動化防護。實時監控DNS記錄變更，設置告警機制。此外還可以應用對應工具定期檢測漏洞。

● 第三方服務管理。驗證第三方服務的所有權，即便服務停用，在第三方平臺保留占位頁面或保留資源所有權。

● 安全策略與培訓。為所有的子域名強制HTTPS、HSTS和內容安全策略。并增強管理員和開發人員的風險意識。

● 應急響應。明確安全事件的處置步驟，定期備份DNS區域文件，確?？煽焖倩貪L至安全狀態。

文件校驗不全

政企官網成了黑產“馬甲”

案例二至四就是典型的上傳漏洞引起的問題，如圖3.1所示，文件上傳漏洞被利用的情況大致可以分為以下幾種：

● 文件上傳接口沒有校驗上傳文件的類型，在這種情況下，本來只應該接收圖片格式的文件上傳接口，被用戶上傳了HTML文件。

● 文件上傳接口只校驗上傳文件的后綴，在這種情況下，本來只應該接收圖片格式的文件上傳接口，被用戶上傳了HTML文件，但只是后綴改成了PNG。

● 文件上傳接口只校驗上傳文件的文件頭，在這種情況下，用戶可以只調整文件頭和后綴，文件頭后的實際內容為HTML內容。

圖3.1 文件上傳漏洞的幾種情況

如圖3.2所示，黑產通過文件上傳漏洞作惡的基本流程如包括以下幾個步驟：

圖3.2 黑產利用文件上傳漏洞上傳惡意HTML作惡的流程

用戶瀏覽黑產通過文件上傳漏洞上傳的引流頁面，這個頁面實際上是一個空白頁面，只執行特定的JS。

● 特定的JS首先執行調試模式檢測，如果是調試模式，則終端整個流程。非調試模式，則執行下一步。

● 特定的JS執行平臺檢測，如果不在指定平臺范圍內，則會重定向到一些知名的大站。如果是指定平臺，則執行下一步。

● JS向黑產的后臺發起請求。

● 黑產后臺處理請求，并返回需要重繪的頁面，由JS完成頁面重繪。

● 用戶點擊重繪頁面中的按鈕，再次向黑產后臺發起新的請求。

● 黑產后臺處理相關的請求，計算得到重定向的目標網站。

● 黑產后臺返回重定向的目標網站。

● 用戶終端重定向到目標網站。

● 用戶繼續觀看目標網站上的惡意內容，進行分享觀看及購買等相關操作。

經過上述作惡流程分析，我們發現很多色情網站可能有統一的后臺。通過網址關系鏈技術，我們發現，一周內發現具有上述作惡特征的站點達到186萬個，涉及超過2.1萬個域名。其中除了黑產自建的網站之外，黑產也會應用一些企業網站的文件上傳漏洞來傳播惡意內容，本次發現超過360個政企網站和少數個人網站存在文件上傳漏洞且被黑產利用，如圖3.3所示，由于涉及很多正規網站，這對我們的打擊策略有了更高的要求。

圖 3.3 文件上傳漏洞背后黑灰產團伙分析

文件上傳漏洞

“四重防護盾”構建

預防文件上傳漏洞可以從文件校驗、存儲安全、服務器配置和監控審計等多方面入手。

● 文件校驗：白名單校驗，僅允許特定擴展名，避免黑名單方式，但這種容易被繞過；MIME類型校驗，檢查Content-Type，防止偽造文件類型；文件內容檢查，通過文件頭驗證真實格式；文件大小限制，如限制在2MB以內。

● 存儲安全：隨機重命名，生成隨機文件名，避免路徑預測或覆蓋；非Web目錄存儲，上傳文件保存到不可以直接訪問的目錄；禁用執行權限，通過服務器配置禁止上傳目錄解析腳本。

● 服務器配置：獨立文件服務器，使用單獨域名/CDN分發文件，利用同源策略限制攻擊；禁用危險函數，如PHP的system、exec等；HTTPS傳輸，防止上傳過程被篡改。

● 監控與審計：病毒掃描，使用工具掃描上傳文件；日志記錄，記錄所有上傳操作，方便追蹤異常行為；定期檢查，審計上傳內容和服務器日志。

當前，騰訊安全團隊已在騰訊系產品上針對存在發現的仿冒海底撈虛假紅包和支付類色情的外鏈進行了處理，但是黑產的作惡收到和方法一直處于快速的變化中。騰訊安全建議所有用戶不要訪問風險外鏈，避免上當受騙，同時也建議網站管理員根據漏洞防范方法做好網站的安全管理工作，避免網站被黑灰產利用。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：