freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

警惕!国内已有5000余个网站中招!关于一种大规模的暗链劫持流量的风险提示
  • 关注
警惕!国内已有5000余个网站中招!关于一种大规模的暗链劫持流量的风险提示
2022-06-29 14:30:27
所属地 浙江省

概述

近期,安恒信息中央研究院零壹实验室、回声实验室共同监测发现一种新型全局劫持的暗链植入行为,区别于传统的全局劫持,本次暗链植入手段隐蔽性极强,针对不同访问对象、不同页面设计了不同的响应方式。据不完全统计,监测到国内已有5000余个网站遭到同种劫持并被植入暗链,其影响范围遍布政府、教育、医疗、企业等领域,对网络空间产生了极大的威胁。

“暗链”的危害

当你在搜索引擎中搜索正常的新闻和资料时,打开的网站明显显示是正常网站,却跳转到了黄赌博等非法网站。不用怀疑这背后就是“暗链”在搞鬼。将正常的用户流量劫持至“黄赌炸”等非法网站,让用户“消费”从而“变现”,这是一种典型的黑色产业链行为。

“暗链”是一种搜索引擎欺诈手段,用于提高它所指向的网站的搜索引擎排名。其有效性、隐蔽性深受黑灰产组织的喜爱,他们往往会在一些重要网站如政府、教育、医疗等网站中植入暗链,从而窃取更多的流量权重。

窃取的流量多被用于网络黑色产业链,包括网络赌博、网络诈骗、开设色情网站、售卖违禁药毒品等犯罪行为。所以暗链不仅危害网站的正常业务,还危害人民财产安全,影响社会稳定。

手法分析

1.劫持手法分析

为了使篡改后的页面得到流量,黑灰产会在用户从搜索引擎的结果中进入时将正常页面重定向至被篡改页面。其原理是利用访问时的Referer字段,该字段表示从哪里链接到当前网页,因此可以通过Referer字段来精确地找到从搜索引擎而来的用户。

2.SEO欺诈分析

经分析,SEO欺诈的手法如上图所示:

1用户访问暗链时,返回404页面;

2用户访问首页时,返回正常页面;

3搜索引擎爬虫访问首页时,失陷服务器会访问Hacker服务器(用于控制失陷服务器的黑灰产服务器),接着会在页面植入大量“特定字符串(如图中的“POC”)+随机字符串”的暗链并返回给爬虫,并无bo彩内容,既有一定的欺骗性,又诱导爬虫去访问暗链;

4搜索引擎爬虫访问暗链时,触发爬虫UA条件,失陷服务器会访问Hacker服务器,会将篡改后的bo彩页面返回给爬虫,使得篡改页面被搜索引擎收录。

影响范围

零壹实验室自2022年6月12日通过全网监测分析,截至日前已有5107个网站遭到此种暗链植入,其中企业站点为3464个,占比67.89%,政府机关、事业单位站点共387个,占比7.57%。

1.暗链网站的行政区域分布

如下图所示,从区域分布来看,被植入暗链网站总数排前列的区域分别是广东(16.90%)、北京(11.11%)、江苏(9.88%)、河南(6.73%)、上海(6.73%)及浙江(6.09%)。

2.暗链网站的行业分布

通过对被植入暗链进行行业归类,该种暗链共影响5102个不同行业/部门。横向来看,企业站点占比最高,达到了67.89%,这是因为企业站点习惯于通过“一键建站”的方式搭建网站且疏于管理,从而导致安全水平能力较低。纵向来看,政府机关站点的检出率最高,平均每102个政府机关网站中就有一个网站被植入暗链,这可能是因为政府机关网站的权重较高,可以窃取的流量更多。

3.暗链网站的WEB应用服务器/运营商分布

按照运营商统计,中国电信占比最高,达到47.64%,联通占比29.18%,移动占比12.45%;按照服务器统计,失陷网站中IIS服务器的占比最高,达到40.59%,Nginx服务器和Apache服务器次之,分别为33.46%和12.99%。

处置建议

1.关键位置排查

全局劫持往往是利用服务器响应时默认加载的全局代码文件,通过在这些文件中放置完整的代码脚本,进而实现复杂完整的判断逻辑,达到控制响应页面的目的。此处列举一些常见的全局配置文件,建议定期进行代码巡查:

1、IIS环境:Global.asa,Global.asax,web.config

2、PHP环境:auto_prepend_file ,auto_append_file

3、Apache环境:httpd.conf及虚拟主机相关配置文件

4、Nginx:nginx.conf

5、Include命令包含的其他配置文件

除了以上配置文件外,还需要注意各种Web服务器加载的模块,如IIS中加载的DLL文件等。

2.网站漏洞加固

被挂上链接或者篡改内容只是暗链植入的特征,网站被植入暗链意味着网站本身存在着严重的安全漏洞,管理员权限已经被黑客窃取。因此,暗链植入往往伴随着植入后门、窃取核心数据、破坏服务器等的风险。所以一旦出现暗链,不能只修复被植入暗链的网页,而是需要利用专业的漏扫设备/服务如安恒云的漏洞扫描服务,对网站进行彻底的漏洞扫描并修复。

联系我们

在检测过程中,我们发现一些网站已经发现了自身存在一些异常url的访问行为,并封禁了这些异常的路径访问行为,但这种封禁策略治标不治本,劫持的路径关键字”poc”可以由攻击团伙进行远程控制修改,以上建议仅为简单的排查建议,如发现服务器存在以上情况的暗链植入情况但经排查仍无法解决,欢迎联系我们400-6059110。

另外,零壹实验室将在下一期推出针对各种环境中劫持攻击样本分析,并针对性的提出专杀工具和解决方案,尽请期待。

# 钓鱼攻击 # 钓鱼邮件 # 钓鱼网站 # 暗链
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
概述
    手法分析
      影响范围
        处置建议
          联系我们