网站修改攻击定义和动机
1、地下经济
黑帽SEO
黑客攻击的紧张动机之一便是钻营经济利益,SEO是搜索引擎优化(Search Engine Optimization)的缩写,由于搜索引擎占互联网入口流量的60%以上[1],对搜索排名的优化直接影响到网站的市场营销效果。为提升搜索排名,与通过内容创造以优化网站内容质量的白帽SEO方案比较,造孽的黑帽SEO每每非常快速而且有效。以是在网络地下黑产的天下,黑帽SEO是流量快速变现的主要手段。
***、网络色情等地下经济背后是巨大的利润,因此此类造孽做事运营者常常和黑帽SEO运营者互助,通过购买黑客攻陷的合法站点掌握权,批量修改被控网站的页面,实现博彩站点推广。
以下几个截图展示黑帽SEO的范例效果,可以看到,通过嵌入各种博彩长尾词[2]及博彩网站链接,修改合法网站页面,从而让合法站点成为造孽博彩站点的引流工具。
利用修改合法gov.cn网站实现黑帽SEO
向合法网站标题和内容嵌入博彩链接及关
恶意代码嵌入
向修改的站点嵌入恶意代码,如远控程序或病毒,并通过欺骗性的文本领导网页浏览者***安装,进一步通过中招的主机拓展僵尸网络或履行信息盗取从而变现也是部分黑客攻击的主要手段之一。参考文献[5]先容了一种通过向被修改网站嵌入虚假浏览器更新的办法实现攻击浏览者打算机,拓展僵尸网络的手腕。
通过虚假的浏览器更新提示欺骗浏览者***恶意脚本[5]
资源滥用(挖矿挟制)
在Coinhive供应浏览器挖矿做事接入API后,通过修改网站,向被修改站点网页嵌入浏览器挖矿脚本,从而掌握网站浏览者打算机资源为攻击者挖矿,也成为一种有效的地下经济变现办法。参考文献[6]详细先容了该种攻击办法的技能细节。
挖矿挟制浏览器打算资源进行挖矿[7]
2、纯炫耀目的黑客行为主义
在网络空间,hacktivism(或hactivism)被称为黑客行为主义,特指通过利用技能手段,意图达成政治或社会影响的一种行为,也被称为“网络胆怯主义”[3]。
国外造孽组织对我国站点的恶意修改
网站内容修改趋势
(注:以下剖析紧张关注SEO类型和涉及政治的炫耀式修改,暂不涉及恶意代码注入及资源滥用型修改。)
1 、SEO修改
近期SEO修改种别
在最近半年的监测过程中,我们创造博彩、色情、游戏类修改是黑帽SEO的主流类型。比较过去,医疗、代孕广告类数量减少,可能和监管机关对非正规医疗机构推广限定有关。
修改监控引擎创造的修改类型占比情形
近期SEO来源统计
对近期网络分属于2563个domain的22939个SEO修改页面的搜索引擎来源进行统计:
基于上述数据,可通过下图直不雅观理解SEO修改来源于海内不同搜索引擎的占比,以及各个搜索引擎的风险提示占比。个中SEO修改来源占比越高意味着被利用进行SEO的推广明显较多,而风险提示占比则表示各搜索引擎对SEO修改的监控力度。建议SEO修改来源占比较高的搜索引擎增加黑产打击力度,以此降落用户发生经济丢失的风险。
SEO来源及搜索风险提示占比
新SEO办法涌现
近期深信服创造一种主要的网站黑帽SEO趋势:注册已经被政府机关抛弃但曾用过的域名用来搭建博彩等暴利网站,大量政府机关含有旧域名链接的网页就成了造孽站点的天然外链,可以有效提升其PR值。
1、中心办公厅发布文件哀求政府利用.gov.cn域名前,大量省、地市政府公务机关站自行申请域名,每每以.com 等注册。
2、.com政府网站存续期间,不同机关相互以.com站点引用。
3、中心发布文件,哀求政府站点规范注册域名后缀。各政府站点相继抛弃.com站点,由于转换韶光有先后,导致现存政府站点的旧页面每每依然留存有前述政府站点旧.com域名。
4、黑帽SEO黑客收购或重新注册拥有了已经被抛弃确当局站点的.com 旧域名,搭建博彩类站点,利用此域名仍旧存在于其他政府站点旧页面上存在的外链,得到高PR值天然上风。
一个曾经的***站点在域名过期后成为黑帽SEO工具
从上图可以看到,曾经的***站点 由于域名过期,现在竟然也成了博彩类站点,曾经指向该站点的合法页面,也成了天然的SEO页面。
SEO反响的近期博彩热度情形
从近期涌现的博彩黑词的频率看,紧张集中在北京赛车、时时彩、分分彩等比较盛行的造孽***类型,建议公安机关对频次最高的在线赌钱加强打击力度。详细博彩游戏频次分布如下:
2、某政治黑客团体修改攻击事宜和趋势
近年来,随着我国国际影响力不断扩大,外洋反华及敌对分子不断对我国境内站点进行滋扰,如以南海诸岛及海内社会事宜为主题的对我国境内站点的修改攻击。
以某具有政治目的的黑客团体为例,从2012年5月至今,该组织共修改我国境内站点约800个,以下统计各省受其攻击次数趋势(从2012年底至2018年底):
站点名称含有地级市名的被修改站点数量的所属区域统计
从历史看,浙江、北京、广东、江苏、上海、山东等IT发展大省的站点被修改比例较高。
某涉政黑客组织对我国境内站点修改数量趋势
从修改数量变革趋势(上图)看,上海、山东、辽宁、云南、湖南等省在2018年被上述涉政黑客组织攻击的占比在逐渐增高。
从行业看,排名第一位的是各种教诲机构,包括中小学、职业教诲、高校及科研机构等;排名第二位的是政府及各种政务做事平台及民主党派网站等;其次是各种行业做事、企业、社会做事等站点;统计分布图如下:
我国被修改站点的行业分布
2013年中至2016年中,修改内容基本是各种不文明用语加基于政治、社会的***事宜的对政府的恶意中伤和诋毁。从2017年2月,其修改文本风格开始发生较大变革,趋于稚子化,但对被修改站点的荣誉依然带来十分不利影响。
网站修改攻击手腕
利用网站漏洞实现对网站主机掌握并修改网站页面是紧张的攻击手腕,基于2016年一针对环球被修改网站的统计剖析[4]表明,文件包含、SQL注入以及对已公开漏洞的利用攻击是网站修改的紧张缘故原由。
被修改网站的修改原缘故原由统计[4]
网站修改防御建议
基于对网站黑客在他们攻击的站点上的署名与ExploitDB漏洞提交者账号间的比拟剖析,文献[4]展示了对被修改网站漏洞类型的统计,可见Web运用漏洞是网站被修改的紧张缘故原由。
网站修改缘故原由统计
在此,对广大网站掩护者的防修改建议如下:
(1)确保网站利用了必要的安全策略:如强密码、精确的管理员权限分配、及访问安全策略配置;
(2)利用运用层防火墙以便过滤、监控、并阻挡有害的流量,Web运用层安全必不可少;
(3)务必在开放访问的所有Web运用开拓阶段利用必要的安全编码规则;
(4)常常利用安全监测机制验证网站的安全性;并对Web运用进行包括SQL注入漏洞、XSS漏洞等常见漏洞检测;
(5)确保自己的Web运用、中间件、操作系统等始终处于必要的补丁更新状态,避免黑客利用已知漏洞攻击自己的站点。
本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM
