网站挂马近年来一直是国内互联网安全最严重的安全威胁之一，也对教育网网站构成了危害。随着高考招生拉开帷幕，教育网网站，特别是高招网站，将成为广大考生和家长频繁浏览的热门站点，也不可避免地成为恶意攻击者的关注目标。

　　北京大学网络与信息安全实验室于去年完成了北大网站挂马监测平台系统的研发，积极与赛尔网络、中国教育和科研网紧急响应组（CCERT）进行合作，在中国教育网体检中心项目中向教育网网站提供公益性的网站挂马监测服务。

　　被挂马网站囊括多数高校

　　2010年上半年，北大网站挂马监测平台累计检测到近400个教育网顶级域名下的1,248个网站被挂马，上半年挂马率为3.52%（即在上半年周期内，教育网内有3.52%比例的网站曾被检测出挂马）。每月在教育网中检出的挂马网站数量和月度的挂马率变化趋势如图 1所示，总体呈现快速增长趋势。2月份由于春节假期等因素挂马网站数量较少，进入3月份中下旬由于当时IE浏览器中爆出iepeers零日漏洞（又称为”极风”），以及攻击该漏洞的网马在黑客社区中广泛流传，3月份和4月份的教育网挂马网站数量成倍攀升，并在5月和6月高考高招临近期保持在高位状态，月度挂马率接近2%。

图1 2010年上半年教育网网站挂马数量和月度挂马率统计

　　对于我们平台所检出的教育网挂马网站，我们也在检出后第一时间查询Google安全浏览(Google Safe Browsing)API接口，获取Google是否对这些网站进行恶意标注的结果。结果发现Google对平台检出的1,248个挂马网站，仅标注了295个，未标注比例达到了76.4%，而对每次检测的未标注比例则更是高达79.3%。该数据说明虽然Google安全浏览计划监测面很广，但对中国教育网的监测覆盖面尚不够充分。

　　北大挂马监测平台目前对教育网网站大约3天进行一轮全网站深度监测，而每轮监测到的挂马率变化情况如图 2，最高值为近0.7%，检出245个网站，最低值为0.02%。

图2 2010年上半年教育网网站每轮监测挂马率

　　在2010年上半年检出的1,248个挂马网站中，我们进一步对这些网站在平台每轮监测中检出次数和挂马检出的持续时间进行了统计，其分布如图 3所示。检出次数最多的达到25次，为某高校教育科学学院二级网站，平均检出次数为3.93；检出持续时间最长的132天，为某高校生物技术学院，在1月下旬检出后一直保持被挂马状态，持续被平台检出，平均挂马持续时间为23.2天。这说明教育网部分网站对挂马的检测和响应还远远不够主动和迅速，也使得挂马网站持续地对访问者构成安全威胁。

图3 2010年上半年教育网挂马网站检出次数和挂马持续时间分布

　　检出的1,248个挂马网站分布于401个教育网顶级域名（即大致分布于近400个高校和科研院所单位），检出挂马网站最多顶级域名（haue.edu.cn），从2月3日至6月5日，在该域名下持续有47个不同的网站被检出挂马，检出次数达到223次。经分析，该高校网站大部分都建在同一IP的服务器上，且均采用了ASP动态页面建站，而被植入的网页木马也都属于同一渗透代码工具包(Exploit Kit)且宿主域名源于同一动态域名服务，因此可以推测该高校大量网站被挂马是同一攻击者(团伙)所为，通过攻入服务器，在不同虚拟主机目录的网页中插入恶意挂马链接，从而实施网站挂马攻击。在检出挂马网站的401个顶级域名中，平均每个域名下有3.02个挂马网站，这些检出挂马网站的顶级域名所属单位也几乎囊括了目前国内所有985及211高校。

　　网页木马URL及宿主站点变化性大

　　北大网站挂马监测平台具有网页木马精确定位和挂马链提取功能，对于检测到的挂马网站，能够追溯网页木马URL链接及宿主站点。基于这些原始数据，我们对上半年教育网检出的网页木马URL及宿主站点进行统计分析，从而尝试寻找一些攻击者构建挂马攻击场景的技术规律。

　　在平台对1,248个挂马网站的累计25,501次检出结果中，这些挂马网站最终装载了位于744个宿主上的1,534个网页木马URL，传播网站数量最多的网页木马宿主站点如表2，最多的宿主站点o.lookforhosting.com上的网页木马链接在143个教育网网站中植入传播。表 3显示了影响挂马网站数量最多的网页木马宿主站点根域名，以及在这些根域名上所发现的网页木马宿主站点数量，从中可以看出大量网页木马宿主站点利用免费域名服务申请的动态域名进行DNS解析，这说明了国内动态域名服务尚存在被滥用的情况，需对动态域名注册进一步加强安全管理。

图4 教育网检出挂马网站数量和次数的顶级域名分布情况

　　在我们的监测过程中发现，检出的挂马网站在每轮监测中提取到的网页木马URL链接和宿主站点具有高度的变化性，73.1%的挂马网站所挂接的网页木马URL宿主站点进行了变化转移，每个挂马网站平均对应的网页木马宿主站点数竟达到了4.82，这种高度变化性显然是在对抗目前产业界和国家监管部门普遍实施的黑名单域名和网址过滤机制，也对有效应对处置网站挂马威胁提出了更高的挑战。

　　“极风”和“极光”横行网络

　　目前北大网站挂马监测平台主要仍采用动态行为分析技术检测和发现挂马网站，尚无法自动化地分析出网页木马所利用的安全漏洞类型。为了进一步完善平台，我们已经在浏览器模块间通讯劫持技术、基于安全漏洞特征的网页木马检测方法、基于安全漏洞模拟的网页木马检测方法等方面取得了技术突破，相关研究成果发表于AsiaCCS’10等知名国际会议上，也将利用创新技术进一步完善监测业务平台。

　　根据对固化保全的网页木马攻击场景的人工辅助分析结果，我们总结了2010年上半年检出的网页木马所主要利用的安全漏洞和攻击方式，网马利用最为流行和普遍的漏洞莫属IE浏览器中爆出的MS10-018（国内又称“极风”）和MS10-002（“极光”），而2009年的MS09-043、MS09-032，2008年的MS08-054、联众GLIEDown.IEDown.1控件多个缓冲区溢出漏洞，2007年的RealPlayer IERPCtl.IERPCtl.1控件漏洞和“老的掉牙”的MS06-014漏洞仍频频出现在集成多个渗透攻击代码的网马攻击包中。

　　北京大学网络与信息安全实验室通过与中国教育和科研网紧急响应组(CCERT)、赛尔网络体检中心的友好合作，已开展对教育网中的网站挂马情况进行全网检测和态势分析，并为“全国普通高校招生安全检测平台”(www.nhcc.edu.cn)注册的高校网站用户提供网站挂马定点监测服务(ercis.icst.pku.edu.cn)。希望高校网络安全管理部门和人员能够充分重视，对相关网站进行全面检测和安全加固，积极预防，尽量避免网站挂马等安全事件的发生。

　　（作者单位为北京大学网络与信息安全实验室）