×

国内网站内容篡改现状调查
  

SANGFOR_智安全 5922

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-1-10 15:28 编辑

国内网站内容篡改现状调查

几乎每个人都有过这样的经历:手机电脑上网时却莫名其妙弹出满屏的广告,并跳转到其他网页。。。
那么,背后的真相究竟是什么,黑客如何进行网页篡改,网站又该如何防范。本文分析国内网站内容篡改现状,知己知彼,方能百战不怠。

网站篡改攻击定义和动机
1、地下经济
黑帽SEO
黑客攻击的主要动机之一便是谋求经济利益,SEO是搜索引擎优化(Search Engine Optimization)的缩写,由于搜索引擎占互联网入口流量的60%以上[1],对搜索排名的优化直接影响到网站的市场营销效果。为提升搜索排名,与通过内容创造以优化网站内容质量的白帽SEO方案相比,非法的黑帽SEO往往非常快速而且有效。所以在网络地下黑产的世界,黑帽SEO是流量快速变现的重要手段。

网络**、网络色情等地下经济背后是巨大的利润,因此此类非法服务运营者经常和黑帽SEO运营者合作,通过购买黑客攻陷的合法站点控制权,批量篡改被控网站的页面,实现**站点推广。

以下几个截图展示黑帽SEO的典型效果,可以看到,通过嵌入各类**长尾词[2]及**网站链接,篡改合法网站页面,从而让合法站点成为非法**站点的引流工具。

利用篡改合法gov.cn网站实现黑帽SEO
向合法网站标题和内容嵌入**链接及关

恶意代码嵌入
向篡改的站点嵌入恶意代码,如远控程序或病毒,并通过欺骗性的文本引诱网页浏览者下载安装,进一步通过中招的主机拓展僵尸网络或实施信息窃取从而变现也是部分黑客攻击的重要手段之一。参考文献[5]介绍了一种通过向被篡改网站嵌入虚假浏览器更新的方式实现攻击浏览者计算机,拓展僵尸网络的手法。
通过虚假的浏览器更新提示欺骗浏览者下载恶意脚本[5]

资源滥用(挖矿劫持)
在Coinhive提供浏览器挖矿服务接入API后,通过篡改网站,向被篡改站点网页嵌入浏览器挖矿脚本,从而控制网站浏览者计算机资源为攻击者挖矿,也成为一种有效的地下经济变现方式。参考文献[6]详细介绍了该种攻击方式的技术细节。
挖矿劫持浏览器计算资源进行挖矿[7]

2、纯炫耀目的黑客行为主义
在网络空间,hacktivism(或hactivism)被称为黑客行为主义,特指通过使用技术手段,意图达成政治或社会影响的一种行为,也被称为“网络恐怖主义”[3]。
国外非法组织对我国站点的恶意篡改

网站内容篡改趋势
(注:以下分析主要关注SEO类型和涉及政治的炫耀式篡改,暂不涉及恶意代码注入及资源滥用型篡改。)
1 、SEO篡改
近期SEO篡改类别
在最近半年的监测过程中,我们发现**、色情、游戏类篡改是黑帽SEO的主流类型。相比过去,医疗、代孕广告类数量减少,可能和监管机关对非正规医疗机构推广限制有关。
某公司篡改监控引擎发现的篡改类型占比情况
近期SEO来源统计
对近期收集分属于2563个domain的22939个SEO篡改页面的搜索引擎来源进行统计:
基于上述数据,可通过下图直观了解SEO篡改来源于国内不同搜索引擎的占比,以及各个搜索引擎的风险提示占比。其中SEO篡改来源占比越高意味着被利用进行SEO的推广明显较多,而风险提示占比则体现各搜索引擎对SEO篡改的监控力度。建议SEO篡改来源占比较高的搜索引擎增加黑产打击力度,以此降低用户发生经济损失的风险。
SEO来源及搜索风险提示占比

新SEO方式出现
近期某公司发现一种重要的网站黑帽SEO趋势:注册已经被政府机关抛弃但曾用过的域名用来搭建**等暴利网站,大量政府机关含有旧域名链接的网页就成了非法站点的天然外链,可以有效提升其PR值。
1、某公司发布文件要求政府使用.gov.cn域名前,大量省、地市政府公务机关站自行申请域名,往往以.com 等注册。

2、.com政府网站存续期间,不同机关互相以.com站点引用。

3、中央发布文件,要求政府站点规范注册域名后缀。各政府站点相继抛弃.com站点,因为转换时间有先后,导致现存政府站点的旧页面往往依然留存有前述政府站点旧.com域名。

4、黑帽SEO黑客收购或重新注册拥有了已经被抛弃的政府站点的.com 旧域名,搭建**类站点,利用此域名仍然存在于其他政府站点旧页面上存在的外链,获得高PR值天然优势。
一个曾经的公益站点在域名过期后成为黑帽SEO工具
从上图可以看到,曾经的公益站点 由于域名过期,现在竟然也成了**类站点,曾经指向该站点的合法页面,也成了天然的SEO页面。

SEO反映的近期**热度情况
从近期出现的**黑词的频率看,主要集中在北京赛车、时时彩、分分彩等比较流行的非法在线**游戏类型,建议公安机关对频次最高的在线**加强打击力度。详细**游戏频次分布如下:
2、某政治黑客团体篡改攻击事件和趋势
近年来,随着我国国际影响力不断扩大,海外反华及敌对分子不断对我国境内站点进行滋扰,如以南海诸岛及国内社会事件为主题的对我国境内站点的篡改攻击。
以某具有政治目的的黑客团体为例,从2012年5月至今,该组织共篡改我国境内站点约800个,以下统计各省受其攻击次数趋势(从2012年底至2018年底):
站点名称含有地级市名的被篡改站点数量的所属区域统计
从历史看,浙江、北京、广东、江苏、上海、山东等IT发展大省的站点被篡改比例较高。
某涉政黑客组织对我国境内站点篡改数量趋势
从篡改数量变化趋势(上图)看,上海、山东、辽宁、云南、湖南等省在2018年被上述涉政黑客组织攻击的占比在逐渐增高。

从行业看,排名第一位的是各类教育机构,包括中小学、职业教育、高校及科研机构等;排名第二位的是政府及各类政务服务平台及民主党派网站等;其次是各类行业服务、企业、社会服务等站点;统计分布图如下:
我国被篡改站点的行业分布
2013年中至2016年中,篡改内容基本是各种不文明用语加基于政治、社会的新闻事件的对政府的恶意中伤和诽谤。从2017年2月,其篡改文本风格开始发生较大变化,趋于幼稚化,但对被篡改站点的声誉依然带来十分不利影响。

网站篡改攻击手法
利用网站漏洞实现对网站主机控制并篡改网站页面是主要的攻击手法,基于2016年一针对全球被篡改网站的统计分析[4]表明,文件包含、SQL注入以及对已公开漏洞的利用攻击是网站篡改的主要原因。
被篡改网站的篡改原原因统计[4]

网站篡改防御建议
基于对网站黑客在他们攻击的站点上的签名与ExploitDB漏洞提交者账号间的对比分析,文献[4]展示了对被篡改网站漏洞类型的统计,可见Web应用漏洞是网站被篡改的主要原因。
网站篡改原因统计
在此,对广大网站维护者的防篡改建议如下:
(1)确保网站使用了必要的安全策略:如强密码、正确的管理员权限分配、及访问安全策略配置;
(2)使用应用层防火墙以便过滤、监控、并阻止有害的流量,Web应用层安全必不可少;
(3)务必在开放访问的所有Web应用开发阶段使用必要的安全编码规则;
(4)经常使用安全监测机制验证网站的安全性;并对Web应用进行包括SQL注入漏洞、XSS漏洞等常见漏洞检测;
(5)确保自己的Web应用、中间件、操作系统等始终处于必要的补丁更新状态,避免黑客利用已知漏洞攻击自己的站点。

参考文献
[1] searchenginewatch.com, Organic Search Accounts for Up to 64% of Website Traffic[STUDY],https://searchenginewatch.com/se ... bsite-traffic-study, 2014
[2] Jayson DeMers, How to Identify Long-Tail Keywords for Your SEO Campaign,
https://www.advancedwebranking.com/blog/how-to-identify-long-tail-keywords-for-your-seo-campaign/ , 2013
[4] Marco Balduzzi, Ryan Flores, A deep dive into defacement,
https://documents.trendmicro.com/assets/white_papers/wp-a-deep-dive-into-defacement.pdf, 2017
[5]  Jérôme Segura , ‘FakeUpdates’ campaign leverages multiple website platforms, https://blog.malwarebytes.com/th ... -website-platforms/, 2018
[6] Sangfor_blueteam,攻防演练:coinhive网页挖矿详解,
https://mp.weixin.qq.com/s/590ipsiQoygSue6fJeeepA , 2018
[7] 陆雨柔, 挖矿 | 劫持普通用户 CPU 进行挖矿?YouTube 用户被迫成为“矿工”,https://36kr.com/p/5116516.html, 2018

新SEO方式出现
近期某公司发现一种重要的网站黑帽SEO趋势:注册已经被政府机关抛弃但曾用过的域名用来搭建**等暴利网站,大量政府机关含有旧域名链接的网页就成了非法站点的天然外链,可以有效提升其PR值。
1、某公司发布文件要求政府使用.gov.cn域名前,大量省、地市政府公务机关站自行申请域名,往往以.com 等注册。
2、.com政府网站存续期间,不同机关互相以.com站点引用。
3、中央发布文件,要求政府站点规范注册域名后缀。各政府站点相继抛弃.com站点,因为转换时间有先后,导致现存政府站点的旧页面往往依然留存有前述政府站点旧.com域名。
4、黑帽SEO黑客收购或重新注册拥有了已经被抛弃的政府站点的.com 旧域名,搭建**类站点,利用此域名仍然存在于其他政府站点旧页面上存在的外链,获得高PR值天然优势。
一个曾经的公益站点在域名过期后成为黑帽SEO工具
从上图可以看到,曾经的公益站点 由于域名过期,现在竟然也成了**类站点,曾经指向该站点的合法页面,也成了天然的SEO页面。

SEO反映的近期**热度情况
从近期出现的**黑词的频率看,主要集中在北京赛车、时时彩、分分彩等比较流行的非法在线**游戏类型,建议公安机关对频次最高的在线**加强打击力度。详细**游戏频次分布如下:

2、某政治黑客团体篡改攻击事件和趋势
近年来,随着我国国际影响力不断扩大,海外反华及敌对分子不断对我国境内站点进行滋扰,如以南海诸岛及国内社会事件为主题的对我国境内站点的篡改攻击。

以某具有政治目的的黑客团体为例,从2012年5月至今,该组织共篡改我国境内站点约800个,以下统计各省受其攻击次数趋势(从2012年底至2018年底):
站点名称含有地级市名的被篡改站点数量的所属区域统计
从历史看,浙江、北京、广东、江苏、上海、山东等IT发展大省的站点被篡改比例较高。
某涉政黑客组织对我国境内站点篡改数量趋势
从篡改数量变化趋势(上图)看,上海、山东、辽宁、云南、湖南等省在2018年被上述涉政黑客组织攻击的占比在逐渐增高。

从行业看,排名第一位的是各类教育机构,包括中小学、职业教育、高校及科研机构等;排名第二位的是政府及各类政务服务平台及民主党派网站等;其次是各类行业服务、企业、社会服务等站点;统计分布图如下:
我国被篡改站点的行业分布
2013年中至2016年中,篡改内容基本是各种不文明用语加基于政治、社会的新闻事件的对政府的恶意中伤和诽谤。从2017年2月,其篡改文本风格开始发生较大变化,趋于幼稚化,但对被篡改站点的声誉依然带来十分不利影响。

网站篡改攻击手法
利用网站漏洞实现对网站主机控制并篡改网站页面是主要的攻击手法,基于2016年一针对全球被篡改网站的统计分析[4]表明,文件包含、SQL注入以及对已公开漏洞的利用攻击是网站篡改的主要原因。
被篡改网站的篡改原原因统计[4]
网站篡改防御建议
基于对网站黑客在他们攻击的站点上的签名与ExploitDB漏洞提交者账号间的对比分析,文献[4]展示了对被篡改网站漏洞类型的统计,可见Web应用漏洞是网站被篡改的主要原因。
网站篡改原因统计
在此,对广大网站维护者的防篡改建议如下:

(1)确保网站使用了必要的安全策略:如强密码、正确的管理员权限分配、及访问安全策略配置;
(2)使用应用层防火墙以便过滤、监控、并阻止有害的流量,Web应用层安全必不可少;
(3)务必在开放访问的所有Web应用开发阶段使用必要的安全编码规则;
(4)经常使用安全监测机制验证网站的安全性;并对Web应用进行包括SQL注入漏洞、XSS漏洞等常见漏洞检测;
(5)确保自己的Web应用、中间件、操作系统等始终处于必要的补丁更新状态,避免黑客利用已知漏洞攻击自己的站点。

参考文献
[1] searchenginewatch.com, Organic Search Accounts for Up to 64% of Website Traffic[STUDY],https://searchenginewatch.com/se ... bsite-traffic-study, 2014
[2] Jayson DeMers, How to Identify Long-Tail Keywords for Your SEO Campaign,
https://www.advancedwebranking.com/blog/how-to-identify-long-tail-keywords-for-your-seo-campaign/ , 2013
[4] Marco Balduzzi, Ryan Flores, A deep dive into defacement,
https://documents.trendmicro.com/assets/white_papers/wp-a-deep-dive-into-defacement.pdf, 2017
[5]  Jérôme Segura , ‘FakeUpdates’ campaign leverages multiple website platforms, https://blog.malwarebytes.com/th ... -website-platforms/, 2018
[6] Sangfor_blueteam,攻防演练:coinhive网页挖矿详解,
https://mp.weixin.qq.com/s/590ipsiQoygSue6fJeeepA , 2018
[7] 陆雨柔, 挖矿 | 劫持普通用户 CPU 进行挖矿?YouTube 用户被迫成为“矿工”,https://36kr.com/p/5116516.html, 2018

打赏鼓励作者,期待更多好文!

打赏
7人已打赏

Sangfor_闪电回_朱丽 发表于 2019-1-11 11:15
  
网络安全,近几年最热门的话题,已经被越来越多的企业单位重视,安全厂商任重道远~~~
文文哒 发表于 2019-1-12 10:46
  
网络安全,安全厂商任重道远~~~
Hjg 发表于 2019-1-14 17:33
  
列出了数据,让人感觉条理很清楚,了解到网络安全的重要性!
adds 发表于 2019-1-17 11:24
  
文章下半部分有内容重叠了。
帅帅哥 发表于 2019-1-18 08:35
  
分享内容很棒
droprains 发表于 2019-1-18 10:28
  
现在篡改网站的都很隐蔽,加个小代码,飘几个小广告~~
厌児 发表于 2019-2-8 23:56
  
形势还是很严重的
kevinking 发表于 2019-2-14 10:28
  
网络安全,任重道远
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人