从黑客攻击到货币化——黑洞下的黑帽SEO分析

概述

由于互联网入口流量主要被搜索引擎占据，网站在搜索引擎中的排名直接影响营销效果，因此SEO服务应运而生。 SEO（Search Engine Optimization）全称搜索引擎优化，是指利用搜索引擎的规则来提高网站在相关搜索引擎中的自然排名。

SEO服务分为两种：一种是合法的技术手段，通过站内优化、站外优化、内容建设等合理手段来提高网站排名；二是利用作弊手段快速提高网站在搜索引擎内的排名，如利用蜘蛛池、暗链接、站群、客户端劫持、服务器劫持等黑客技术通常被称为黑帽SEO。

黑帽 SEO 服务通常针对非法产品或网站。与合法的SEO技术服务相比，黑帽SEO非常有效，可以在短时间内提高排名以进行快速推广，并且推广的网站内容不受法律限制。黑客的主要目标是获取非法经济利益，而黑帽SEO是黑客快速变现利润的重要手段。地下网络世界已经形成了一条完整的黑色产业链：黑客利用网站的安全漏洞，通过入侵获得网站控制权，植入后门，并将后门出售给黑帽SEO运营商。

黑帽SEO利用秘密外链、网站劫持等技术手段篡改网站内容，对色情、赌博、赌博等非法网站进行搜索引擎推广。阿里云安全团队近期追踪到一个利用网页漏洞入侵网站并劫持网站首页进行批量SEO推广的黑产业团伙。这个黑色产业团伙控制着数量庞大的网站，而且推广的网站大多是非法网站，对互联网行业造成巨大危害。被入侵的网站往往被植入多个后门，可以被黑客重复利用，成为黑企的盈利工具，带来巨大的安全风险。

这个黑色产业集团的上游黑客组织掌握了大量的IP基础设施。为了绕过安全防御，它每天使用数千个代理/秒拨IP进行疯狂入侵。

由于该黑团伙控制的外部链接域名注册邮箱地址为dashheng123123@gmail.com，因此我们将其命名为“大胜”。

被控制网站分布

经过长期追踪发现，仅2019年1月至3月，该非法团伙就控制和利用了至少1.27万个站点。从暗链网页嵌入的顶级域名分布情况来看，“.com”占比最大，占总数的72%。有许多非营利组织/政府网站嵌入了暗链接。大部分是地方行业协会网站，但也有中国XXX发展研究中心、中国XXX发展联盟等全国性协会网站。行业协会/政府网站可信度较高，黑帽SEO“链接”到这些网站可以快速提高其在搜索引擎中的排名。但发布的“黄赌毒”信息严重影响了网站的公信力。网站暗链接的存在也意味着存在严重的安全漏洞，如果不及时修复，可能会引发重大网络安全事件。

黑帽SEO手法分析

黑制作团伙通过被感染网站的webshell后门，在网站首页头部插入如下代码。这段代码会修改页面标题、关键词和描述，并判断查看者是否是百度搜索引擎。如果没有，该网站的标题将是修改为合法内容以隐藏自己：

攻击向量

黑帽SEO团伙使用的webshell后门通常是由上游黑客组织提供的。阿里云安全团队研究追踪到了大生最大的“供应商”。该黑客组织自2019年1月起就变得异常活跃，主要利用2018年爆发的两个Thinkphp5远程代码执行漏洞，偶尔也会利用其他Web漏洞。根据其Webshell文件名和主要入侵方式，我们将其命名为ThinkphpDD。该组织的攻击负载从

http://43.255.29.112/php/dd.txt下载恶意代码，这是一个webshell后门。通常入侵成功几天后，大胜就会被黑产团伙利用。为了长期控制该网站，大胜会在被感染网站的不同目录中植入多个webshell后门。该后门具有很强的反查杀能力。

IP基础设施

通常攻击者使用的IP会因恶意攻击而被IPS、防火墙等安全设备拦截。为了绕过安全防护，获取最大利益，ThinkphpDD使用大量IP进行网络攻击。自2019年1月以来，它每天使用数千个IP进行攻击。而且使用的IP复用率较低，该团伙已经使用了10万多个IP。使用的IP大部分来自中国，占比89%。结合阿里云的代理IP威胁情报，至少86%的IP是匿名代理或拨号IP。可见，该团伙为获取非法利益投入了大量资金。

（图为黑客使用的IP数量趋势）