freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

针对一伙WordPress犯罪团伙的深度技术分析
2017-03-11 14:35:19

本文阐述了如何对一个黑产团伙追根溯源。据Wordfence监控数据显示,这个被称为JerseyShore的团伙的主要攻击目标为金融和假冒体育服装类网站。通过本文你将会看到,我们是如何一步步让幕后真凶浮出水面,最终编织出一张有组织的犯罪团伙网络。

背景介绍

通过我们的数据分析监测平台可以看到,每个月针对WordPress的暴力攻击次数,都是非常可观的。仅上个月Wordfence就平均每天需要阻断,高达2500万次的暴力攻击行为。你可以查阅我们一月份发布的,关于针对WordPress的攻击活动报告

blocked_brute_force_attacks_jan2017-1024x717.png

就在本月(2月份),一个IP为91.200.12.103的用户,引起了我们的注意。Wordfence自2月21日到2月28日期间,共阻止了超过22,000个网站的170万次攻击。因此,我们决定对这个可疑的IP进行更深入的分析调查。不出所料,通过我们的追踪溯源,一个大型的攻击平台渐渐的浮出了水面,同时我们也摸清了他们的攻击战术,技术和程序(TTP),以及背后的真正策划者。

分析IP和主机

通过分析我们发现,91.200.12.103 这个IP地址,为之前我们写过的,一个代号为“PP SKS-LUGAN”(PSL)的暴力攻击组织所拥有。早在去年12月份的暴力攻击峰值期,我们就发现大多数的攻击源就来自于该组织(PSL)。

下图显示了去年12月份,在一天当中的有关PSL组织排名前几位的IP地址以及攻击次数:

Screen-Shot-2016-12-15-at-11.06.58-PM.png

大量针对PSL的投诉,并没能改变和减少PSL IP地址的攻击行为。

为了更加全面的了解情况,我们对91.200.12.103这个地址,进行了深入的研究分析:

PSLIP.png

通过对服务器端口的探测,我们初步判定该服务器为Windows主机。同时我们还发现,它似乎还与一个域名为heilink的网站有关。通过archive.org历史存档网站我们发现,这个网站此前被用于一个游戏装备的出售平台,同时这个人也可能是该IP的最早所有者。

根据我们观察到的,来自PSL的netblock的攻击数量,我们认为他们是一个“防弹托管提供商”。换句话说,他们正在为从事明显恶意活动的个人或组织,提供托管服务。因此,PSL不会对客户投诉作出任何的回应,并且也不会阻止客户继续使用其服务从事非法活动!

通过91.200.12.103我们还能获取到什么信息?

参与我们Wordfence网络安全计划的一位客户站点,遭到了91.200.12.103的污染攻击。

我们抓取了部分样品的截图,其中包含以下内容:

pslSpam1.png

从上图可以看到,垃圾邮件中包含许多营销运动服装的域名。因此,我们可以得知,这个IP除了暴力攻击外,同时还对目标网站实施污染攻击。

假冒运动服装网站

为了了解Wordfence防火墙,阻止包含这些域的其他污染攻击,我们使用了上面垃圾邮件中所发现的域名列表。结果发现有一系列的IP地址段,参与到了污染攻击活动中,并发现其推广的网站列表,都为假冒运动服装销售网站。

下表显示了我们遇到的属于此广告系列一部分的网站列表。在正在积极上市的24个网站中,其中19个(或80%)仍然在运行,并且由于商标侵权而未被删除。 (详见下文)

WebsiteStatusPurpose
www.wholesalejerseysgaa.comupSEO
www.wholesalejerseys-cheapest.comupSales
www.wholesalejerseychinashop.comupSales
www.wholesalejerseychinaoutlet.comupSales
www.jerseywholesalechinabiz.comupSales
www.jerseyschinabizwholesale.usupSales
www.jerseysbizwholesalecheap.comupSales
www.wholesalecheapjerseysfree.comupSales
www.cheapjerseysbizwholesale.usupSales
www.cheapjerseysap.comupSales
www.cheapjerseyssa.comDownDNS Error
www.bizcheapjerseyswholesalechina.comupSales
www.cheapestjerseys-wholesale.comupSales
www.cheapjerseysfootballshop.comupSales
www.cheapjerseysa.comupSales
www.chinacheapelitejerseys.comupSEO
www.chinajerseyswholesalecoupons.comupSales
www.jerseychinabizwholesale.usupSales
www.jerseyswholesalechinalimited.comupSales
www.jerseywholesaleelitestore.comupSales
www.nfljerseyscheapchinabiz.comDownTakedown Notice
www.chinaelitecheapjerseys.comDownTakedown Notice
www.jerseywholesalebizchina.comDownTakedown Notice
www.nfljerseysforsalewholesaler.comDownTakedown Notice
www.nfljerseyscheapbiz.usDownDNS Error
www.jerseychinabizwholesale.comDownTakedown Notice

我们对这些网站进行了分析,并将91.200.12.103和垃圾邮件网络中的其它网站建立了连接关系。如下图:

jerseyShore.png

上图,我们列举了其中6个IP地址作为参考。展示了他们正在使用的攻击和垃圾邮件传送方式,以及IP之间行为的相似性。从图片中,我们还可以清晰的看到,每个IP所对应的域名,以及各个IP之间的相互关系。

从上图中可以看出,91.200.12.103正在进行高频的暴力攻击。其中一个域名为bizcheapjerseyswholesalechina.com的网站,与垃圾邮件网络中的另外两个IP地址建立了连接。

这些连接的IP当中,其中一个正在使用与网络中另外两个IP,相同类型的垃圾评论。或者在战术上,它们使用相同的TTP(即战术,技术和程序)。此外,我们通过TTP连接的IP之一,也是垃圾邮件的Ajax聊天插件,列表中的另一个IP地址也在做。

通过以上的基本分析,我们发现只有5个IP地址与91.200.12.103相关。我们确信,垃圾邮件网络中的其它IP地址,可以以相同的方式连接到91.200.12.103。

一长串诉讼

许多参与垃圾邮件活动的网站,已遭到了一家代表NFL,MLB,NHL和NBA的律师事务所起诉关闭。在被关闭删除的网站主页,我们会看到如下的图片通知:

Screen-Shot-2017-03-01-at-7.44.08-AM.png

申请该禁令,一般先由律师事务所提出诉讼。然后经由法院批准,并最终实施临时禁止令(TRO)。根据上图显示,该禁令的生效时间为2016年12月8日。

然后律师会在一个礼拜后,提出初步禁令。一个月后,律师会提出一个默认的判决协议。

一般这些网站的所有者,都不会出庭为自己辩护。因此,法院往往会以网站无人看管为由,并最终将网站的控制权交给商标所有者。一旦商标所有者控制了网站,他们便会将网站程序删除,并将以上的图片通知放置网站主页。

网站支付

我们发现这些销售假冒运动服装的网站,偏好通过西联汇款或MoneyGram收款。 其中一个网站的支付页面如下:

checkoutExample.png

在任何情况下,我们发现付款接收人都位于中国。在我们分析的网站范围内,我们找到了以下收件人:

  • Yanxing Chen
  • ChunYu Lin
  • HuangMin Lai
  • YouZhong Zeng
  • LingKun Gong
  • Xin Cai
  • YuanLe Duan

正如你在上面截图中看到的那样,西联汇款和MoneyGram均有不同的付款和收款人。为了说明这些个体的相关性,我们通过树状图的方式,将他们的关系网建立了连接。如下:

image.png

如上图所示,每个人都是通过支付网站连接到其他人的 。不难看出,收款人应该是该利益链条中地位较低的人。很显然,这是一个分工明确,有组织的犯罪团伙。

总结

以上我们向大家展示了,犯罪团伙利用垃圾邮件来宣传他们的虚假销售网站的案例。除了垃圾邮件,他们还通过托管在知名“防弹托管提供商”的网站,来对WordPress网站进行暴力攻击。

美国的律师事务所正在进行一项持续的运动,根据商标侵权诉讼,TROs和违约判决,取缔这些假冒的服装零售商。商标侵权人与代表商标所有人的律师事务所之间,正掀起一场没有硝烟的斗争。

总之,通过这个简单的分析案例,可以让我们更好的了解,那些针对WordPress站点的暴力攻击者的背后动机。从以上案例可以得知,该团伙的动机是金融以及利用受害者WordPress网站销售假冒运动服装。

*参考来源 :wordfence,FB小编 secist 编译,转载请注明来自FreeBuf(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# WordPress
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑