Anatomia kampanii spamerskiej SEO Blackhat (z niespodzianką)

  1. Legalne strony internetowe są hackowane i rekrutowane do sieci spamowej Podczas okresowej analizy...
  2. Jak następuje początkowe przejęcie witryny
  3. streszczenie
  4. Ronen Atias

Legalne strony internetowe są hackowane i rekrutowane do sieci spamowej

Podczas okresowej analizy ruchu Cato Cloud w Laboratorium Badawczym Cato zauważyliśmy, że nasz mechanizm analizy bezpieczeństwa został wywołany przez żądanie do usługi udostępniania kodu, Pastebin. Wniosek pochodzi ze strony internetowej przedszkola w Singapurze (rysunek 1) .

Pastebin to popularna usługa przechowywania i udostępniania kodu. „Wklej” na koncie Pastebin odnosi się do fragmentu kodu, który można dynamicznie pobrać i umieścić w określonym kontekście, na przykład stronie internetowej. Podczas gdy usługa jest wykorzystywana do legalnych celów, może być również wykorzystywana do uruchamiania szkodliwych działań w sieci.

Rysunek 1 - Zrzut ekranu strony internetowej

Analiza kodu źródłowego strony doprowadziła do znacznika skryptu, który był źródłem podejrzanego żądania. Po przeanalizowaniu innych części kodu zauważyliśmy kilka ukrytych linków, które odnosiły się do witryn sprzedaży obuwia. Oczywiście, bez związku z witryną przedszkolną. (Rysunek 2) .

Rysunek 2 - Podejrzany fragment kodu

Linki są umieszczane w ukrytej części strony, pokrywającej się z jednym nagłówkiem, więc każdy, kto kliknie nagłówek, jest nieświadomie odwoływany do jednej z tych stron. Jest to dobrze znana technika zwana „clickjacking”, wykorzystywana w różnych szkodliwych celach, takich jak zbieranie przymusowych polubień na stronie Facebooka.

Osiągając nasze zainteresowanie, obejrzeliśmy link w Pastebin. Widzimy, że zawiera on fragment Javascript, który jest wykonywany za każdym razem, gdy przeglądarka internetowa trafi na zainfekowaną stronę, pobierając inny kod JavaScript, który jest hostowany na serwerze atakującego. Pozwala to atakującemu na użycie Pastebin, legalnej usługi, jako bramy do złośliwego kodu (Rysunek 3) . Od czasu opublikowania wklej miał więcej niż 500 tys. Widoków, a liczba wyświetleń wzrosła o 10 tys. W czasie badania (rys. 4) .

Co ciekawe, w tym momencie skrypt odwołuje się do strony HTML, a nie kodu JavaScript. Odesłany HTML zawiera kilka skryptów przeznaczonych do utworzenia odcisku palca urządzenia dla użytkowników uzyskujących dostęp do witryny. Ta technika jest często używana do wspierania kierowania reklam przez użytkowników, bez użycia plików cookie, które są wyłączone lub niedozwolone w różnych regionach.

Rysunek 3 - Złośliwa pasta zawierająca Javascript

Kiedy wykopaliśmy trochę więcej na konkretnym koncie Pastebin, zobaczyliśmy dodatkowe pasty, które wskazują na złośliwe intencje tego aktora.

Rysunek 4 - Ponad 500 tysięcy trafień na tej paście

Poniższy rysunek przedstawia jedną z past zawierających backdoora PHP (Rysunek 5) . Backdoor to fragment kodu, który jest osadzony w witrynie i daje atakującemu możliwość sterowania serwerem WWW zaatakowanej witryny. Ten prosty, ale skuteczny backdoor wykonuje kod PHP, który atakujący może wysłać za pomocą żądań HTTP POST.

Rysunek 5 - Wklej backdoor PHP

Sieć spamowa w akcji

Odkryliśmy tysiące zainfekowanych stron, wszystkie hostowane na legalnych stronach internetowych, zawierające linki do tej samej sieci sprzedaży detalicznej spamu. Każda strona ze spamem zawiera skrypt, który przekierowuje użytkowników do strony internetowej prowadzonej przez spamerów. Przekierowanie następuje tylko wtedy, gdy użytkownik został skierowany na tę stronę z głównej wyszukiwarki: Google, Bing, Yahoo lub AOL (rysunki 6,7) . Jest to powszechna metoda SEO blackhat stosowana do fałszywego zwiększania rangi strony.

Skrypt jest hostowany w kilku subdomenach, w tym „google.jj4.co” i „gogle.jj4.co”, a nazwa skryptu również się zmienia.

Rysunek 6 - wstrzyknięcie skryptu Rysunek 6 - wstrzyknięcie skryptu   Rysunek 7 - zawartość wstrzykniętego skryptu Rysunek 7 - zawartość wstrzykniętego skryptu

W momencie publikacji nie mogliśmy zweryfikować, czy zakupione towary są rzeczywiście dostarczone. Oczywiście każdy, kto używa takich technik do zdobywania ruchu, nie jest godnym zaufania sprzedawcą.

Jak następuje początkowe przejęcie witryny

Wyszukiwanie domeny C&C w paście z rysunku 3 doprowadziło nas do skryptu, który został użyty do zaatakowania witryn. Skrypt ma na celu wykorzystanie luk w skrypcie cross-site-scripting (XSS) w WordPress w celu przejęcia witryny i umieszczenia odnośników do produktów i sklepów, które widzieliśmy wcześniej.

Po pierwsze, skrypty ataku dołączają prosty backdoor PHP do jednej z zainstalowanych wtyczek WordPress - dokładnego kodu PHP, który pojawia się w jednej z past atakujących. Później skrypt zgłasza domenę i ścieżkę włamanej wtyczki.

Rysunek 6 - Skrypt ataku pokazujący URL C&C Rysunek 6 - Skrypt ataku pokazujący URL C&C   Rysunek 7 - Skrypt ataku Rysunek 7 - Skrypt ataku

Na koniec skrypt próbuje dodać użytkownika z uprawnieniami administracyjnymi do WordPress (Rysunek 8) .

Rysunek 8 - Skrypt ataku

streszczenie

Używanie Pastebin w kontekście sieci spamowej jest tutaj ważne, ponieważ atakujący może szybko zastąpić domenę serwera poleceń i kontroli (C&C) na wklejce i wpływać na wszystkie zainfekowane strony. Jest to potrzebne, gdy serwery C&C zostają umieszczone na czarnej liście i istnieje potrzeba ich szybkiej zmiany. Oczywiście, trudno jest Pastebinowi wykryć i zatrzymać te działania. Chociaż może to być jedynie oszustwo eCommerce, ta sama metoda może zostać wykorzystana do dostarczenia złośliwego oprogramowania poprzez zestawy exploitów, które mogą postawić użytkowników końcowych na znacznie wyższym poziomie ryzyka. Wielkość aktywności wokół pasty wskazuje, że może to mieć wpływ na setki tysięcy użytkowników.

Aby zapobiec przejęciu Twojej witryny przez takie ataki, rozważ regularne łatanie instancji WordPress i wtyczek WordPress oraz ograniczanie dostępu administratora do konkretnego adresu IP, takiego jak zewnętrzny adres IP sieci firmowej.

Czytać o najlepsze strony bezpieczeństwa

Ronen Atias

Ronen Atias jest badaczem bezpieczeństwa w Cato Networks. Jest jednym z najlepszych członków zespołu z Cato Research Labs. Również niepraktykujący biolog, fan MacGyvera i ekspert we wszystkich dziedzinach Internetu. Hackowanie planety od ZX81.

Więcej postów

Ronen Atias jest badaczem bezpieczeństwa w Cato Networks. Jest jednym z najlepszych członków zespołu z Cato Research Labs. Również niepraktykujący biolog, fan MacGyvera i ekspert we wszystkich dziedzinach Internetu. Hackowanie planety od ZX81. Zobacz wszystkie posty Ronen Atias