×

黑帽 SEO 分析 入侵 变现

从黑客攻击到货币化——黑洞下的黑帽SEO分析

元智汇电子 元智汇电子 发表于2023-11-09 09:14:18 浏览763 评论0

抢沙发发表评论

概述

由于互联网入口流量主要被搜索引擎占据,网站在搜索引擎中的排名直接影响营销效果,因此SEO服务应运而生。 SEO(Search Engine Optimization)全称搜索引擎优化,是指利用搜索引擎的规则来提高网站在相关搜索引擎中的自然排名。

SEO服务分为两种:一种是合法的技术手段,通过站内优化、站外优化、内容建设等合理手段来提高网站排名;二是利用作弊手段快速提高网站在搜索引擎内的排名,如利用蜘蛛池、暗链接、站群、客户端劫持、服务器劫持等黑客技术通常被称为黑帽SEO。

黑帽 SEO 服务通常针对非法产品或网站。与合法的SEO技术服务相比,黑帽SEO非常有效,可以在短时间内提高排名以进行快速推广,并且推广的网站内容不受法律限制。黑客的主要目标是获取非法经济利益,而黑帽SEO是黑客快速变现利润的重要手段。地下网络世界已经形成了一条完整的黑色产业链:黑客利用网站的安全漏洞,通过入侵获得网站控制权,植入后门,并将后门出售给黑帽SEO运营商。

黑帽SEO利用秘密外链、网站劫持等技术手段篡改网站内容,对色情、赌博、赌博等非法网站进行搜索引擎推广。阿里云安全团队近期追踪到一个利用网页漏洞入侵网站并劫持网站首页进行批量SEO推广的黑产业团伙。这个黑色产业团伙控制着数量庞大的网站,而且推广的网站大多是非法网站,对互联网行业造成巨大危害。被入侵的网站往往被植入多个后门,可以被黑客重复利用,成为黑企的盈利工具,带来巨大的安全风险。

这个黑色产业集团的上游黑客组织掌握了大量的IP基础设施。为了绕过安全防御,它每天使用数千个代理/秒拨IP进行疯狂入侵。

由于该黑团伙控制的外部链接域名注册邮箱地址为dashheng123123@gmail.com,因此我们将其命名为“大胜”。

被控制网站分布

经过长期追踪发现,仅2019年1月至3月,该非法团伙就控制和利用了至少1.27万个站点。从暗链网页嵌入的顶级域名分布情况来看,“.com”占比最大,占总数的72%。有许多非营利组织/政府网站嵌入了暗链接。大部分是地方行业协会网站,但也有中国XXX发展研究中心、中国XXX发展联盟等全国性协会网站。行业协会/政府网站可信度较高,黑帽SEO“链接”到这些网站可以快速提高其在搜索引擎中的排名。但发布的“黄赌毒”信息严重影响了网站的公信力。网站暗链接的存在也意味着存在严重的安全漏洞,如果不及时修复,可能会引发重大网络安全事件。


image.png

(图为某政府网站被植入暗链)

黑帽SEO手法分析

黑制作团伙通过被感染网站的webshell后门,在网站首页头部插入如下代码。这段代码会修改页面标题、关键词和描述,并判断查看者是否是百度搜索引擎。如果没有,该网站的标题将是修改为合法内容以隐藏自己:

image.png

第二个js脚本被混淆和编码。执行后得到新的js,链接到黑产团伙控制的外部javascript。

image.png

执行后的js:

image.png

js代码会自动将网页内容推送到百度站长平台和360站长平台,并通过referrer判断访问者是否来自搜索引擎。如果有,就会跳转到真正推广的网站。

image.png

我们在搜索引擎中搜索其推广的暗链接关键词,可以看到多个被入侵的网站在搜索引擎中排名靠前。

image.png

(图为遭黑帽SEO篡改的合法网站)

攻击向量

黑帽SEO团伙使用的webshell后门通常是由上游黑客组织提供的。阿里云安全团队研究追踪到了大生最大的“供应商”。该黑客组织自2019年1月起就变得异常活跃,主要利用2018年爆发的两个Thinkphp5远程代码执行漏洞,偶尔也会利用其他Web漏洞。根据其Webshell文件名和主要入侵方式,我们将其命名为ThinkphpDD。该组织的攻击负载从

http://43.255.29.112/php/dd.txt下载恶意代码,这是一个webshell后门。通常入侵成功几天后,大胜就会被黑产团伙利用。为了长期控制该网站,大胜会在被感染网站的不同目录中植入多个webshell后门。该后门具有很强的反查杀能力。



image.png

被植入的webshell后门


黑客组织使用的攻击payload:

image.png

image.png

image.png


IP基础设施

通常攻击者使用的IP会因恶意攻击而被IPS、防火墙等安全设备拦截。为了绕过安全防护,获取最大利益,ThinkphpDD使用大量IP进行网络攻击。自2019年1月以来,它每天使用数千个IP进行攻击。而且使用的IP复用率较低,该团伙已经使用了10万多个IP。使用的IP大部分来自中国,占比89%。结合阿里云的代理IP威胁情报,至少86%的IP是匿名代理或拨号IP。可见,该团伙为获取非法利益投入了大量资金。


image.png

(图为黑客使用的IP数量趋势)


image.png

(图为黑客攻击次数趋势)

image.png

(图为黑客使用的IP国家分布)

image.png

(图为黑客使用的IP来源分布)


安全建议

  • 用户应及时更新服务或修补网站漏洞,避免成为入侵的受害者。

  • 用户可以检测网站源代码,及时清理被植入的网站后门和恶意代码。

  • 建议使用阿里云安全新一代云防火墙产品,可及时拦截恶意攻击,配置智能策略,有效帮助防范入侵。

  • 对于定制化要求较高的用户,可以考虑使用阿里云安全管家服务。购买服务后,经验丰富的安全专家将提供咨询服务并定制适合您的解决方案,帮助加固系统并防止入侵。



群贤毕至

访客