1、 20182018 年网站攻击态势及年网站攻击态势及 “攻击团伙攻击团伙”挖掘分析报告挖掘分析报告 国家计算机网络应急技术处理协调中心 2019 年 3 月 2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 2 2 / 2323 前言 国家互联网应急中心（以下简称 CNCERT/CC）持续对网站攻击进行抽样监测分析。在获取网站服务器权限后，攻击者往往会留有网站后门（webshell），用于持续保持对被攻击网站的权限。也就是说，网站后门的植入、连接操作往往说明攻击者具有长期控制服务器权限的可能性，尤为值得关注。CNCERT/CCCNCERT/CC 尝试从尝试从攻击源和被攻击

2、端的角度对攻击源和被攻击端的角度对网站后网站后门门连接连接进行各维度的态势统计分析，进行各维度的态势统计分析，进而进而观察观察网站网站攻击攻击的总体的总体态势，并对其中可能存在的态势，并对其中可能存在的“攻击团伙”进行挖掘和刻画，攻击团伙”进行挖掘和刻画，进而进而以“以“攻击攻击团伙”的全新视角来观察团伙”的全新视角来观察网站网站攻击中攻击中一些值一些值得关注的有紧密联系的攻击资源集合。得关注的有紧密联系的攻击资源集合。 本报告中的“攻击团伙”指的是通过相对独占的网络资源（例如攻击 IP、代理 IP、特定攻击工具等），针对相同的目标进行长期或者规模化攻击的网络资源集合。在网站后门攻击事件中，考

3、虑到网站后门的相对独占性，则可以认为是通过攻击 IP 以及网站后门的连接紧密程度（例如连接关系、连接频繁度等），挖掘而出的攻击 IP 及其掌握的网站后门链接的集合。通过对挖掘而出的重要团伙进行深入分析，CNCERT/CC 发现，这些值得关注的团伙往往由带有一定目的的个人、组织，掌握和使用，通过网站后门持续保持对网站服务器的权限，实现数据窃取、黑帽 SEO、网页篡改等可能的黑色产业意图。后续 CNCERT/CC将对观测到的部分典型网站攻击团伙进行细致跟踪分析并对外进行陆续发布。 详细分析情况请见报告正文。 2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 3 3 / 232

4、3 一、2018 年网站攻击统计态势 据 CNCERT/CC 抽样监测，2018 年各月抽样监测发现的网站后门链接个数分布情况如下图所示。可以发现，20182018 年年 3 3- -8 8 月期间月期间，监测到的监测到的网站网站攻击攻击活动较为活动较为活跃活跃。 图图 1 1.1.1 20182018 年各月监测发现的年各月监测发现的网站后门网站后门链接链接个数个数 2018 年抽样监测到的网站后门脚本类型分布如下图所示，其中 PHPPHP 类型的类型的网站后门网站后门数量最多数量最多， 占 66.7%； 其次是 ASP 和 JSP 脚本类型的网站后门， 分别占 24.2%、 7.3%。 图

5、图 1.1.2 2 20182018 年年监测监测发现发现的的网站后门网站后门按按攻击攻击脚本类型脚本类型分布分布 网站后门全年统计态势如下图所示。可以看出，每月发起网站后门攻击的 IP 与受到网站后门攻击的服务器数量基本相近。 每月监测发现的网站后门数量与受攻击域名数量基本与0500000002500030000350001月2月3月4月5月6月7月8月9月10月 11月 12月66.7%66.7%24.2%24.2%7.3%7.3%1.8%1.8%php shellasp shelljsp shellother2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNC

6、ERT/CC 4 4 / 2323 攻击 IP 数/受攻击 IP 数呈正相关，且具有受攻击域名数量远小于网站后门数量的特点，说说明明网站网站攻击者攻击者倾向于对倾向于对同一个同一个域名植入多个域名植入多个后门后门，用于保证持续获取网站权限，用于保证持续获取网站权限。 图图 1.1.3 3 20182018 年各月的年各月的网站网站攻击攻击态势态势 1.1 攻击源分析 根据 CNCERT/CC 2018 年全年抽样监测， 2018 年发起网站后门攻击的 IP 约有 5 万多个。分别统计各个攻击 IP 发起攻击的天数（详见下图）可知，94.5%的攻击 IP 活跃天数在 1-7 天内，5.5%5.5

7、%的的攻击攻击 IPIP 发起攻击的天数在发起攻击的天数在 100100 天及以上。天及以上。这些活跃天数较长的惯这些活跃天数较长的惯犯犯攻击资源攻击资源值得高度关注。值得高度关注。 图图 1.1.4 4 20182018 年年抽样监测发现抽样监测发现攻击攻击 IPIP 发起攻击天数分布发起攻击天数分布 050000000250003000035000004000500060007000800090001月2月3月4月5月6月7月8月9月10月 11月 12月网站后门数/受攻击域名数攻击/受攻击 IP数攻击IP数受攻击IP数网站后门数受攻击域名数30

8、69900000400005000060000101天及以上30-100天8-30天1-7天2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 5 5 / 2323 IP 归属地为境外的 2.7 万个攻击 IP 分别属于 133 个不同的国家/地区， 拥有攻击 IP 数量最多的国家 Top 25 如下图所示。可知，攻击攻击 IPIP 中中美国美国 IPIP 占比最多占比最多，约占所有境外攻击，约占所有境外攻击IPIP 的的 2323. .0 0%；其次是中国香港、俄罗斯、尼日利亚、摩洛哥等境外国家和地区。 图图 1.1.5 5 发起发起网站网站攻击攻击

9、的境外国家的境外国家/ /地区的攻击地区的攻击 IPIP 个数（个数（TOP 2TOP 25 5） 根据 2018 年发起网站攻击的部分境外国家地区的攻击 IP 数量及其植入掌握的网站后门数量关系可知，大部分国家/地区均倾向于通过少量攻击资源发起大量攻击（即攻击 IP 数远小于其植入掌握的网站后门数），俄罗斯和尼日利亚例外。此外，美国和中国香港的攻击IP 数和掌握的网站后门数量均远高于其他国家/地区。 图图 1.1.6 6 发起发起网站后门网站后门攻击的部分境外国家攻击的部分境外国家/ /地区地区的的攻击攻击 IPIP 数与数与网站后门网站后门数数 00400050006

10、0007000美国香港俄罗斯尼日利亚摩洛哥新加坡菲律宾荷兰英国日本越南韩国德国法国台湾省印度尼西亚意大利巴西突尼斯马来西亚乌克兰加拿大泰国埃及印度0200040006000800040000000美国香港俄罗斯尼日利亚摩洛哥新加坡菲律宾荷兰英国日本越南韩国德国法国台湾省马来西亚乌克兰加拿大攻击IP数网站后门数2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 6 6 / 2323 1.2 被攻击端分析 根据 CNCERT/CC 抽样监测显示，2018 年受到网站后门攻击的服务器 IP 共有 4.5万个，涉及的被攻击服务器端口约有

11、750 个。被攻击服务器端口按涉及网站后门个数的分布如下图所示。其中 80 端口的服务器被植入的网站后门个数最多，约占全年总网站后门个数的 94.6%；其次是 8080 端口，约占 1.4%。 图图 1.1.7 7 被攻击服务器被攻击服务器端口按端口按涉及涉及网站后门网站后门个数分布个数分布 归属地在境内的被攻击服务器 IP 在我国的 31 个省市均有分布，按照省份统计受攻击IP 数量，北京占比例最大，约 20.3%，其次是广东、浙江、山东等地区。 2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 7 7 / 2323 图图 1.1.8 8 境内受到境内受到网站网站攻击攻

12、击的服务器的服务器 IPIP 数量按省份分布数量按省份分布 二、2018 年挖掘发现的网站“攻击团伙”全年态势 CNCERT/CCCNCERT/CC 从全年从全年观测视角发现观测视角发现， 攻击活跃攻击活跃在在 1 10 0 天以上的天以上的网站网站 “攻击攻击团伙”团伙” 有有 7 77777个，全年活跃的个，全年活跃的“攻击团伙”“攻击团伙”1 13 3 个，个，“攻击团伙”“攻击团伙”中使用中使用过的过的攻击攻击 IPIP 大于大于 1 10000 的有的有 2 22 2个，攻击网站个，攻击网站数量数量超过超过 1 10000 的的“攻击团伙”“攻击团伙”有有 6 61 1 个。个。 2

13、.1 全年各月活跃的团伙数量分布 通过分析发现，20182018 年全年各月的活跃团伙数量最低位在年初（年全年各月的活跃团伙数量最低位在年初（1 1 月与月与 2 2 月）和年底月）和年底（1212 月）月）；上半年在 4 月份达到顶峰，当月活跃团伙数量达到 1049 个，在全年总团伙数量中占比 26%；下半年在 8 月份达到顶峰，当月活跃团伙数量达到 1083 个，在全年总团伙数量中占比 27%。 0500025003000350040004500北京广东浙江山东河南上海四川江苏天津福建河北湖北辽宁陕西湖南安徽江西云南黑龙江广西重庆吉林山西贵州甘肃内蒙古新疆海南宁夏青海

14、西藏2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 8 8 / 2323 图图 2 2.1 .1 各月活跃团伙数量各月活跃团伙数量 在全年的团伙态势中，每月的活跃团伙数量和该团伙使用过的攻击 IP/掌握的网站后门/攻的击域名/攻击的服务器 IP 个数均呈现正相关性。 图图 2 2. .2 2 每月团伙的攻击资源及攻击目标的分布情况每月团伙的攻击资源及攻击目标的分布情况 2.2 活跃不同时间的团伙数量分布 0200400600800100012001月2月3月4月5月6月7月8月9月10月 11月 12月549083943105

15、6920454020040060080000400060008000月2月3月4月5月6月7月8月9月10月 11月 12月活跃团伙个数攻击者/网站后门数/攻击的域名/攻击的服务器数量活跃团伙数量攻击者数量网站后门数攻击的域名数量攻击的服务器数量2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 9 9 / 2323 从团伙的攻击活跃天数来看，团伙数量符合幂律分布。多数团伙的活跃天数较短，无法形成对被入侵网站服务器的持久化控制；少量值得关注的团伙具有长时间持续攻击的特点少量值得关注的团伙具有长时间持续攻击的特点，持续对其持续对其入

16、侵的入侵的多个多个网站服务器网站服务器实现长期控制实现长期控制。 图图 2 2.3 .3 团伙个数团伙个数按活跃天数分布按活跃天数分布 其中，活跃天数小于 10 天的团伙有 3227 个，占比 80.6%；活跃活跃天数在天数在 1010- -100100 天天的攻击团伙的攻击团伙 732732 个，占比个，占比 18.3%18.3%；活跃；活跃天数大于天数大于 100100 的团伙共有的团伙共有 4545 个，占比个，占比 1%1%。具体如下图所示： 图图 2 2.4 .4 不同不同活跃天数活跃天数的团伙数量的团伙数量 2.3 掌握不同攻击资源规模的团伙数量分布 0050

17、060070009372839623524425326227228团伙个数活跃天数456830025003000350010090-10080-9070-8060-7050-6040-5030-4020--10010-50=10团伙数量团伙规模020040060080001600创建目录读取列信息复制文件或目录Wget 下载文件读取

18、表信息上传文件修改文件或目录时间戳读取数据库信息下载文件执行 SQL 语句重命名文件或目录写文件获取服务端基本信息命令执行删除文件或目录读文件获取目录树2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 1111 / 2323 2.5 攻击不同服务器数量的团伙数量分布 下图是攻击不同服务器数量的团伙数量分布， 可以看出， 大量团伙攻击的服务器数量较少（100）进行远程控制。 图图 2 2. .7 7 攻击攻击不同服务器不同服务器 IPIP 个数的团伙数量分布个数的团伙数量分布 下图是掌握不同网站后门个数的团伙数量分布， 可以看出与上图的规律类似， 大量团伙掌握的网站后门个数

19、较少，部分值得高度关注的团伙掌握的网站后门数量较多。 图图 2 2. .8 8 掌握不同掌握不同网站后门网站后门个数个数的团伙数量的团伙数量分布分布 0500025003000350010050-10010--10010-506-10=5团伙数量网站后门数量2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 1212 / 2323 三、典型“攻击团伙”概览 在挖掘出各个“攻击团伙”之后，结合对“团伙”行为的监测和跟踪，可对各个团伙的攻击资源、手法、特点进行刻画分析。以下 CNCERT/CC 从不同维度挑选了三个典型团伙展开简单概述

20、，更加细致的跟踪分析将在后续陆续更加细致的跟踪分析将在后续陆续对外对外发布。发布。 在此之前 CNCERT/CC 从攻击资源以及被攻击目标的角度对攻击团伙进行了排名， 具体如以下二图所示。 根据两幅团伙攻击特点概要图可知， 不同团伙的攻击特点具有较大差异。 图图 3.1 3.1 团伙规模（攻击团伙规模（攻击 IPIP 个数）个数）TopTop 1010 的团伙攻击特点概要图的团伙攻击特点概要图 020004000600080004000攻击的服务器数掌握网站后门数攻击的主域名数攻击服务器IP数使用的UA数2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/C

21、C 1313 / 2323 图图 3 3.2 .2 攻击攻击的的域名数量域名数量 Top 10Top 10 的团伙攻击特点概要图的团伙攻击特点概要图 020004000600080004000攻击IP数攻击域名数掌握网站后门数攻击的服务器数使用的UA数2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 1414 / 2323 3.1 GC_WEBATTACK_001：全年使用攻击资源最多的团伙 团伙总结：团伙团伙总结：团伙 GGC_WEBATTACK_001C_WEBATTACK_001 全年使用过的攻击全年使用过的攻击 IPIP 数量共数量共 628

22、36283 个，为个，为全年发现团伙中攻击资源最多的团伙， 并且持续在全年各月活跃。 在该团伙总共活跃的全年发现团伙中攻击资源最多的团伙， 并且持续在全年各月活跃。 在该团伙总共活跃的 2 26060天内，共攻击了天内，共攻击了 2 2668668 个服务器，涉及个服务器，涉及 3 3425425 个域名以及个域名以及 4 4688688 个个网站后门网站后门。该团伙主要通。该团伙主要通过过自动化工具自动化工具对网站对网站进行批量的扫描与控制，攻击进行批量的扫描与控制，攻击 IPIP 主要主要来源于来源于境外境外。 以下是该攻击团伙的攻击资源和攻击目标拓扑结构。可以看出，其中部分攻击 IP 所

23、控制的网站后门较多，属于较为活跃的攻击资源。 图图 3.3 3.3 该团伙的攻击资源和攻击目标拓扑结构（受图片大小所限，只展示团伙的主要部分，绿该团伙的攻击资源和攻击目标拓扑结构（受图片大小所限，只展示团伙的主要部分，绿色为攻击色为攻击 IPIP，紫色为所连接的，紫色为所连接的网网站后门站后门） 下图是该攻击团伙在 2018 年度每月的攻击概况。可以看出，2-5 月以及 10-12 月使用的攻击资源较多，并且攻击的网站服务器较多，其攻击行为较为活跃。 2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 1515 / 2323 图图 3 3.4.4 该团伙每月攻击资源和攻击目

24、标情况该团伙每月攻击资源和攻击目标情况 如下图所示， 可以看出该团伙全天的活跃度比较平稳， 说明该团伙的攻击自动化程度较高，推测是使用特定工具对目标网站自动植入后门并进行持续连接控制。 图图 3 3. .5 5 该团伙的活跃时段分布该团伙的活跃时段分布 该攻击团伙使用的攻击 IP 数量按境内外分布情况如下图所示，可以看出，该团伙使用的境外 IP 为主，占到了 6283 个攻击 IP 中的 80.3%。 05000250030001月2月3月4月5月6月7月8月9月10月11月12月控制网站后门数量攻击的域名数量攻击的服务器数量攻击IP数量0.0%1.0%2.0%3.0%4

25、.0%5.0%6.0%0 11 12 13 14 15 16 17 18 19 20 21 22 23占比一天各时段2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 1616 / 2323 图图 3 3. .6 6 该团伙使用攻击该团伙使用攻击 IPIP 的境内外分布的境内外分布 在 6283 个攻击 IP 中，3359 个攻击 IP 为 IDC 机房 IP，超过了一半以上，资源特点较为明显。 3.2 GC_WEBATTACK_002：攻击资源集中在境外某国的团伙 团伙总结：团伙总结：GGC_WEBATTACK_002C_WEBATTACK_002

26、使使用的攻击用的攻击 IPIP 有有 319319 个，全年个，全年 1212 个月个月均有活均有活跃跃，在其在其间断间断活跃活跃的的 102102 天天内内，攻击，攻击了了 174174 个个域名，域名，涉及涉及 157157 个服务器个服务器 IPIP，植入和掌握，植入和掌握网站后门网站后门 858858 个，个，所攻击所攻击的网站的网站类型类型主要集中在主要集中在政府事业单位、企业网站、网贷和游戏网政府事业单位、企业网站、网贷和游戏网站站等，种类繁多等，种类繁多。该团伙的攻击。该团伙的攻击 IPIP 绝大多数来自绝大多数来自境外某境外某国。国。 下图是该攻击团伙的攻击资源和攻击目标拓扑结

27、构， 可以看出其中的连接控制关系较为复杂。 境内123819.70%境外504580.30%境内境外2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 1717 / 2323 图图 3 3. .7 7 该团伙的攻击资源和攻击目标拓扑结构（受图片大小所限，只展示团伙的主要部分，绿该团伙的攻击资源和攻击目标拓扑结构（受图片大小所限，只展示团伙的主要部分，绿色为攻击色为攻击 IPIP，紫色为所连接的，紫色为所连接的网站后门网站后门） 该攻击团伙在 2018 年全年控制的网站数量较为平均，但在 2018 年 5 月，7 月以及 8月所控制的网站后门数量较多， 且其中 7 月和 8

28、月使用过的攻击资源较多， 具体如下所示。 2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 1818 / 2323 图图 3 3. .8 8 该团伙每月攻击资源和攻击目标情况该团伙每月攻击资源和攻击目标情况 从该团伙的活跃时间段可以看出，在每日的凌晨 1 点，以及 9-15 点较为活跃。 图图 3 3. .9 9 该团伙的活跃时段分布该团伙的活跃时段分布（以中国时区统计）（以中国时区统计） 如下图所示，其攻击 IP 资源主要集中在境外某国。 05003001月2月3月4月5月6月7月8月9月10月11月12月控制网站后门数量攻击的域名数量攻击的服务器

29、数量攻击IP数量00.020.040.060.080.10.120.140.160.180.20123456789 10 11 12 13 14 15 16 17 18 19 20 21 22 23占比一天各时段2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 1919 / 2323 图图 3 3. .1 10 0 该团伙的攻击该团伙的攻击 IPIP 所属国家分布所属国家分布 其攻击的服务器 IP 主要集中在我国境内，按照 IP 的省份分布来看，主要集中在北京、河南等地。所攻击网站主要集中在政府事业单位、企业网站、网贷和游戏网站等类型。 图图 3 3. .1 11 1 攻

30、击境内攻击境内网站服务器数量按网站服务器数量按省份省份 T TOP10OP10 分布分布 23200250300350中国境外某国攻击IP数量国家0554045河北江西香港上海山东江苏广东四川浙江河南北京攻击的服务器数量2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 2020 / 2323 3.3 GC_WEBATTACK_003：某精准针对博彩网站的团伙 团伙总结：团伙总结：GGC_WEBATTACK_003C_WEBATTACK_003 的的攻击攻击 IPIP 数量为数量为 6161 个，个，通过抽样监测，仅观通过抽样监测

31、，仅观测到其测到其攻击攻击了了 6 6 个个网站网站域名。域名。该团伙该团伙从从 20182018 年年 1 1 月持续活跃到月持续活跃到 8 8 月，其中月，其中 3 3 月份是活跃月份是活跃高峰期。高峰期。该团伙的该团伙的主要攻击主要攻击目标为博彩网站目标为博彩网站，从其攻击动作来看，从其攻击动作来看，其攻击行为主要由其攻击行为主要由窃取窃取用户数据等黑产利益驱动。用户数据等黑产利益驱动。 图图 3.3.1 12 2 该团伙的攻击资源和攻击目标拓扑结构（受图片大小所限，只展示团伙的主要部分，该团伙的攻击资源和攻击目标拓扑结构（受图片大小所限，只展示团伙的主要部分，绿色为攻击绿色为攻击 IP

32、IP，紫色为所连接的，紫色为所连接的网站后门网站后门） 从该攻击团伙在 1-8 月的攻击行为来看，较为平稳。 2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 2121 / 2323 图图 3 3. .1 13 3 该团伙每月攻击资源和攻击目标情况该团伙每月攻击资源和攻击目标情况 观察该团伙在一天 24 小时内的攻击行为占比，可以发现该攻击团伙从早上 10 点持续活跃至晚上 23 点， 15 点-21 点为攻击团伙发起网站后门攻击的高峰期， 占全天攻击的 80%。同时，活跃峰值在 20 点左右。 图图 3 3. .1 14 4 该团伙的活跃时段分布该团伙的活跃时段分布 024681012141月2月3月4月5月6月7月8月控制网站后门数量攻击的域名数量攻击的服务器数量攻击IP数量17.6%0.0%2.0%4.0%6.0%8.0%10.0%12.0%14.0%16.0%18.0%20.0%00212223占比一天各时段2018 年网站攻击态势及“攻击团伙”挖掘分析报告 CNCERT/CC 2222 / 2323 该团伙攻击的目标服务器 IP 全部分布在中国香港，且全部为博彩网站。该攻击团伙对被攻击网站的操作属于典型的黑产利益驱动行为。