Анатомія спам-кампанії Blackhat SEO (з поворотом)

  1. Законні веб-сайти зламуються і набираються в мережу спаму Під час періодичного аналізу трафіку Cato...
  2. Як відбувається початкове захоплення сайту
  3. Резюме
  4. Ронен Атіас

Законні веб-сайти зламуються і набираються в мережу спаму

Під час періодичного аналізу трафіку Cato Cloud у Cato Research Lab ми помітили, що наш движок аналітики безпеки був викликаний запитом на службу спільного використання коду Pastebin. Запит був зроблений на сайті дошкільного в Сінгапурі (рис. 1) .

Pastebin - це популярний сервіс для зберігання та спільного використання коду. "Вставити" в обліковому записі Pastebin стосується фрагмента коду, який можна динамічно вибирати і розміщувати в певному контексті, наприклад, на веб-сторінці. Хоча послуга використовується для законних цілей, вона також може бути використана для вмикання шкідливих дій на веб-сайті.

Рисунок 1 - Знімок екрана веб-сайту

Аналіз вихідного коду сайту привів до тегу скрипта, який був джерелом підозрілого запиту. Проаналізувавши інші частини коду, ми помітили кілька прихованих посилань, які посилалися на сайти продажів взуття. Зрозуміло, що це не стосується сайту дошкільного закладу. (Малюнок 2) .

Рисунок 2 - Підозрілий фрагмент коду

Посилання розміщуються в прихованій частині сторінки, що перекриває один з заголовків, тому кожен, хто натискає заголовок, невідомо посилається на один з цих веб-сайтів. Це добре відома техніка, яка називається "clickjacking", яка використовується для різних зловмисних цілей, таких як збір примусових улюблених на сторінці Facebook.

Досягнувши інтересу, ми переглянули посилання в Pastebin. Ми бачимо, що він містить фрагмент Javascript, який виконується кожного разу, коли веб-браузер потрапляє на заражену сторінку, завантажуючи інший код Javascript, який розміщений на сервері атакуючого. Це дозволяє зловмиснику використовувати Pastebin, законну службу, як шлюз до шкідливого коду (мал. 3) . Паста мала понад 500К переглядів, оскільки була розміщена, і перегляди збільшилися зі швидкістю 10 К за час дослідження (рис. 4) .

Цікаво, що на даний момент сценарій посилається на HTML-сторінку, а не на Javascript-код. Згаданий HTML містить кілька сценаріїв, призначених для створення відбитків пальців для користувачів, які здійснюють доступ до сайту. Цей метод часто використовується для підтримки націлювання на рекламу користувача, без використання файлів cookie, які вимикаються або не допускаються в різних регіонах.

Рисунок 3 - Шкідлива паста, що містить Javascript

Коли ми копали трохи більше на конкретному обліковому записі Pastebin, ми побачили додаткові пасти, які вказують на злісні наміри цього актора.

Рисунок 4 - Більше 500K хітів на цю пасту

На наступному малюнку зображено одну з паст, що містить PHP backdoor (мал. 5) . Бекдор - це шматок коду, який посаджений на сайті і надає зловмиснику можливість керувати веб-сервером зламаного сайту. Цей простий, але ефективний, бекдор виконує PHP-код, який зловмисник може надіслати за допомогою HTTP POST-запитів.

Рисунок 5 - Вставити backdoor для PHP

Мережа спаму в дії

Ми виявили тисячі заражених сторінок, всі вони розміщені на законних веб-сайтах, які містять посилання на ту саму роздрібну мережу спаму. Кожна спам-сторінка містить сценарій, який перенаправляє користувачів на роздрібний веб-сайт, керований спамерами. Переадресація відбувається лише в тому випадку, якщо користувач посилається на цю сторінку з основної пошукової системи: Google, Bing, Yahoo або AOL (рисунки 6,7) . Це поширений метод blackhat SEO, який використовується для помилкового збільшення ряду сторінок.

Сценарій розміщується на декількох субдоменах, включаючи "google.jj4.co" і "gogle.jj4.co", а також змінюється назва сценарію.

Рисунок 6 - інжекція сценарію Рисунок 6 - інжекція сценарію   Рисунок 7 - вміст введеного сценарію Рисунок 7 - вміст введеного сценарію

На час публікації ми не змогли перевірити, чи придбані товари фактично доставлені. Очевидно, кожен, хто використовує такі методи для придбання трафіку, не є надійним торговцем.

Як відбувається початкове захоплення сайту

Пошук домену C&C у пасті з малюнка 3 привів нас до сценарію, який використовувався для атаки на сайти. Сценарій розроблений для використання уявлень про перехресні сценарії (XSS) в WordPress для того, щоб захопити сайт, і посадити посилання на продукти та магазини, які ми бачили раніше.

По-перше, сценарії атаки додають простий бекдор PHP до одного з встановлених плагінів WordPress - точний код PHP, який з'являється в одній з паст зловмисника. Пізніше сценарій повідомляє про домен і шлях до злому.

Рисунок 6 - Сценарій атаки, що показує URL C&C Рисунок 6 - Сценарій атаки, що показує URL C&C   Рисунок 7 - Сценарій атаки Рисунок 7 - Сценарій атаки

Нарешті, скрипт намагається додати користувача з правами адміністратора до WordPress (мал. 8) .

Малюнок 8 - сценарій атаки

Резюме

Використання Pastebin в контексті спам-мережі є важливим тут, оскільки зловмисник може швидко замінити домен серверів команд і керування (C&C) в пасту і матиме вплив на всі заражені сайти. Це необхідно, коли C&C-сервери потрапляють у чорний список, і існує необхідність швидко їх змінювати. Очевидно, що Пастебіну важко виявити та зупинити цю діяльність. Хоча це може бути не що інше, як шахрайство електронної комерції, той же метод може бути використаний для доставки шкідливих програм через експлуатаційні комплекти, які можуть поставити на кінцевих користувачів набагато більш високий ризик. Обсяг активності навколо вставки вказує на можливість впливу на сотні тисяч користувачів.

Щоб запобігти перехопленню веб-сайтів за допомогою таких атак, розглядайте регулярні виправлення прикладів WordPress і плагінів WordPress, а також обмеження доступу адміністратора до певної адреси IP, наприклад, зовнішньої IP-адреси вашої корпоративної мережі.

Читати про веб-сайти безпеки

Ронен Атіас

Ронен Атіас є дослідником з безпеки в Cato Networks. Він є одним з кращих членів команди з Cato Research Labs. Крім того, не практикуючий біолог, фанат MacGyver і експерт у всьому веб-речах. Злом планети з ZX81.

Більше повідомлень

Ронен Атіас є дослідником з безпеки в Cato Networks. Він є одним з кращих членів команди з Cato Research Labs. Крім того, не практикуючий біолог, фанат MacGyver і експерт у всьому веб-речах. Злом планети з ZX81. Переглянути всі повідомлення від Ronen Atias