从入侵到变现——“黑洞”下的黑帽SEO分析
由于互联网入口流量主要被搜索引擎占据,网站在搜索引擎中的排名直接影响到市场营销效果,因此SEO服务应运而生。SEO(Search Engine Optimization)全称为搜索引擎优化,是指利用搜索引擎的规则提高网站在相关搜索引擎内的自然排名。SEO服务分为两种:一种是合法的技术手段,通过站内优化、站外优化、内容建设等合理手段提升网站排名;第二种是使用作弊手段快速提升网站在搜索引擎内的排名,比如使用蜘蛛池、暗链、站群、客户端劫持、服务端劫持等黑客技术手段,这种通常称为黑帽SEO。
黑帽SEO服务的对象通常为非法的产品或网站。与合法的SEO技术服务相比,黑帽SEO的效果非常快速,能够在短时间内提升排名进行快速推广,且推广的网站内容不受法律约束。黑客的主要目标是牟取非法的经济利益,黑帽SEO是黑客快速变现的重要手段。在地下网络世界已经形成了一条完整的黑色产业链:黑客利用网站存在的安全漏洞,通过入侵手段获取网站的控制权并植入后门,将后门出售给黑帽SEO运营者,黑帽SEO通过暗链、网站劫持等技术手段篡改网站内容,为黄、赌、赌等非法站点进行搜索引擎推广。
阿里云安全团队于近日跟踪到了一个利用web漏洞入侵网站并通过劫持网站首页进行批量SEO推广的黑产团伙 。此黑产团伙控制网站数量巨大,推广的网站多为非法的菠菜类网站,对互联网产业存在巨大的危害。被入侵网站往往被植入多个后门,可被黑客重复利用,成为黑产的牟利工具,存在巨大的安全风险。该黑产团伙的上游黑客组织掌握了大量IP基础设施,为了绕过安全防御,每天使用数千个代理/秒拨IP进行疯狂入侵。
由于该黑产团伙控制的外部链接域名注册邮箱均为dasheng123123@gmail.com,因此我们将其命名为DaSheng。
经过长期跟踪发现,仅2019年1月到3月,该黑产团伙就控制并利用了至少12700个站点。从被植入暗链网页的顶级域名分布来看,".com"占比最多,占总数的72%。被植入暗链的网站存在为数不少的非营利组织/政府网站,绝大部分为地方性行业协会网站,但也有像中国XXX发展研究中、中国XXX发展联盟等全国性协会网站。行业协会/政府网站具有较高公信力,黑帽SEO“傍”上这些网站能够在搜索引擎里快速提高排名,但是发布的“黄赌毒“信息严重影响了网站的公信力。网站存在暗链也意味着存在严重的安全漏洞,如果不及时修复有可能引发重大的网络安全事件。
该黑产团伙通过被入侵网站的webshell后门在网站首页的头部插入如下代码,该代码会修改页面title、keywords、description,并判断浏览者是否是百度搜索引擎,如果不是搜索引擎则将网站titile修改为合法内容,以达到隐藏自己的目的:
我们在搜索引擎中搜索其推广的暗链关键词,可以看到多个被入侵的网站在搜索引擎处在排名靠前的位置。
黑帽SEO团伙使用的webshell后门通常是由上游的黑客组织提供,经阿里云安全团队研究跟踪到了DaSheng的最大“供货商”。该黑客团伙从2019年1月份开始变得异常活跃,主要使用2018年爆发的2个Thinkphp5远程代码执行漏洞,偶尔也会使用其它的web漏洞。根据其使用的webshell文件名和主要的入侵方式,我们将其命名为ThinkphpDD。
该团伙的攻击payload中会从http://43.255.29.112/php/dd.txt下载恶意代码,该代码是一个webshell后门。通常入侵成功几天之后就会被DaSheng黑产团伙利用,为了能够长期控制站点,DaSheng会在被入侵网站的不同目录植入多个webshell后门,该后门具备较强的免杀性。
通常攻击者使用的IP由于存在恶意攻击行为会被IPS、防火墙等安全设备拦截。ThinkphpDD为了绕过安全防护获取最大的利益,使用了大量IP进行网络攻击,从2019年1月开始每天使用几千个IP进行攻击。而且使用的IP复用率低,被该团伙利用过的IP已超过10万个。使用过的IP绝大部分来自中国,占比89%。结合阿里云的代理IP威胁情报,至少有86%的IP是匿名代理或秒拨IP。可见该团伙为了获取黑产利益投入巨大。
- 上一篇:虚惊柬埔寨西港一酒店冒浓烟似火灾
- 下一篇:有多少人在菲律宾从事菠菜业你身边有吗