概述
由于互联网入口流量主要被搜索引擎占据,网站在搜索引擎中的排名直接影响到市场营销效果,因此SEO服务应运而生。SEO(Search Engine Optimization)全称为搜索引擎优化,是指利用搜索引擎的规则提高网站在相关搜索引擎内的自然排名。SEO服务分为两种:一种是合法的技术手段,通过站内优化、站外优化、内容建设等合理手段提升网站排名;第二种是使用作弊手段快速提升网站在搜索引擎内的排名,比如使用蜘蛛池、暗链、站群、客户端劫持、服务端劫持等黑客技术手段,这种通常称为黑帽SEO。
黑帽SEO服务的对象通常为非法的产品或网站。与合法的SEO技术服务相比,黑帽SEO的效果非常快速,能够在短时间内提升排名进行快速推广,且推广的网站内容不受法律约束。黑客的主要目标是牟取非法的经济利益,黑帽SEO是黑客快速变现的重要手段。在地下网络世界已经形成了一条完整的黑色产业链:黑客利用网站存在的安全漏洞,通过入侵手段获取网站的控制权并植入后门,将后门出售给黑帽SEO运营者,黑帽SEO通过暗链、网站劫持等技术手段篡改网站内容,为黄、赌、赌等非法站点进行搜索引擎推广。
阿里云安全团队于近日跟踪到了一个利用web漏洞入侵网站并通过劫持网站首页进行批量SEO推广的黑产团伙 。此黑产团伙控制网站数量巨大,推广的网站多为非法的博彩类网站,对互联网产业存在巨大的危害。被入侵网站往往被植入多个后门,可被黑客重复利用,成为黑产的牟利工具,存在巨大的安全风险。该黑产团伙的上游黑客组织掌握了大量IP基础设施,为了绕过安全防御,每天使用数千个代理/秒拨IP进行疯狂入侵。
由于该黑产团伙控制的外部链接域名注册邮箱均为dasheng123123@gmail.com,因此我们将其命名为DaSheng。
被控制网站分布
经过长期跟踪发现,仅2019年1月到3月,该黑产团伙就控制并利用了至少12700个站点。从被植入暗链网页的顶级域名分布来看,".com"占比最多,占总数的72%。被植入暗链的网站存在为数不少的非营利组织/政府网站,绝大部分为地方性行业协会网站,但也有像中国XXX发展研究中、中国XXX发展联盟等全国性协会网站。行业协会/政府网站具有较高公信力,黑帽SEO“傍”上这些网站能够在搜索引擎里快速提高排名,但是发布的“黄赌毒“信息严重影响了网站的公信力。网站存在暗链也意味着存在严重的安全漏洞,如果不及时修复有可能引发重大的网络安全事件。
图1:被劫持网站顶级域名分布
图2:某政府网站被植入暗链
黑帽SEO手法分析
该黑产团伙通过被入侵网站的webshell后门在网站首页的头部插入如下代码,该代码会修改页面title、keywords、description,并判断浏览者是否是百度搜索引擎,如果不是搜索引擎则将网站titile修改为合法内容,以达到隐藏自己的目的:
被修改的内容通过HTML的ASCII编码隐藏,还原后为常见的博彩类关键词:
第二段js脚本是经过混淆编码的,执行后得到新的js,并链接到黑产团伙控制的外部javascript
执行后的js:
该js代码会自动向百度站长平台和360站长平台推送网页内容,并通过referrer判断浏览者是否来自搜索引擎,如果是则跳转到真实的被推广网站。
图3:被黑帽SEO篡改的合法网站
攻击向量
黑帽SEO团伙使用的webshell后门通常是由上游的黑客组织提供,经阿里云安全团队研究跟踪到了DaSheng的最大“供货商”。该黑客团伙从2019年1月份开始变得异常活跃,主要使用2018年爆发的2个Thinkphp5远程代码执行漏洞,偶尔也会使用其它的web漏洞。根据其使用的webshell文件名和主要的入侵方式,我们将其命名为ThinkphpDD。
该团伙的攻击payload中会从http://43.255.29.112/php/dd.txt下载恶意代码,该代码是一个webshell后门。通常入侵成功几天之后就会被DaSheng黑产团伙利用,为了能够长期控制站点,DaSheng会在被入侵网站的不同目录植入多个webshell后门,该后门具备较强的免杀性。
图4:被植入的webshell后门
黑客团伙使用的攻击payload:
IP基础设施
通常攻击者使用的IP由于存在恶意攻击行为会被IPS、防火墙等安全设备拦截。ThinkphpDD为了绕过安全防护获取最大的利益,使用了大量IP进行网络攻击,从2019年1月开始每天使用几千个IP进行攻击。而且使用的IP复用率低,被该团伙利用过的IP已超过10万个。使用过的IP绝大部分来自中国,占比89%。结合阿里云的代理IP威胁情报,至少有86%的IP是匿名代理或秒拨IP。可见该团伙为了获取黑产利益投入巨大。
图5:黑客使用的IP数量趋势
图6:黑客攻击次数趋势
图7:黑客使用的IP国家分布
图8:黑客使用的IP来源分布
安全建议
1、用户应及时更新服务,或修补网站漏洞,避免成为入侵的受害者;
2、用户可对网站源代码进行检测,及时清理被植入的网站后门、恶意代码;
3、建议使用阿里云安全的下一代云防火墙产品,能够及时阻断恶意攻击、配置智能策略,能够有效帮助防御入侵;
4、对于有更高定制化要求的用户,可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务,定制适合您的方案,帮助加固系统,预防入侵。
IOCs
www[.]cpdas8[.]com
www[.]bcdas8[.]com
www[.]dasv8[.]com
43.255.29.112
本文作者:桑铎
原文链接