网站安全新隐患——暗链
文
近年来,随着国家相关部门对互联网安全事件的重视、部分软件开发厂商安全意识的提高,曾经红极一时的“挂马”攻击手段已经日趋减少,特别是2009年刑法明确“挂马”事件量刑标准之后,多个曾经猖狂一时的“挂马”集团相继落网,“挂马”这种风险高且收益不稳定的攻击手段逐步为黑色产业链所抛弃。黑色产业链是否因为挂马的衰落而就此沉寂呢?答案是否定的,攻击手段日新月异,其中“暗链”是近年来较为严重的问题,也是攻击者所钟爱的新手法。
“暗链”的价值
20世纪90年代以来,由于信息技术的飞速发展,人们每天接触到的信息量是过去任何一个年代都无法比拟的。如何在庞杂的信息中筛选出有用的信息,成为摆在世人面前的一大难题。因此,人们开发出了搜索引擎,它可以自动的爬取互联网中的信息,并根据一系列算法来评判这些信息的价值,当用户输入所需信息的一些特征(即关键词)时,搜索引擎根据这些特征来进行检索,并根据它所认定的价值高低来对检索到的信息进行排序,最终展示给用户。所以在搜索引擎的搜索结果中排名越靠前,说明搜索引擎认为它的价值越大,被人访问到的概率也越大。于是,网站在搜索引擎中有个比较靠前的排名成为绝大多数站长梦寐以求的事情。然而,随着搜索引擎的大规模应用,一些问题也随之出现…
2011年6月,姚女士通过百度搜索“去哪儿网”,被欺骗访问到钓鱼网站,蒙受经济损失。
2011年8月,数百名网友通过百度搜索“月饼团购”,被欺骗访问到钓鱼网站,蒙受经济损失。
2011年9月,吴某通过百度搜索“淘宝客户服务电话”,获取到虚假的客服电话,并按照对方要求汇款,蒙受经济损失。
2011年10月,杨女士通过百度搜索“山东移动充值”,被欺骗访问到钓鱼网站,蒙受经济损失。
2011年底,蔡先生通过百度搜索“亚洲航空”,被欺骗访问到钓鱼网站,蒙受经济损失。
……
在上述案例中,人们往往将问题归罪于百度公司的竞价排名策略。“竞价排名”是对搜索结果的一种人为干预,把本来搜索引擎认为价值不高的网站排在最前面,然后根据点击量收取费用。百度的竞价排名策略自推出以来一直为人们所诟病,百度也多次因此成为众矢之的。事实上,即使没有竞价排名,黑客仍然可以利用一些攻击手段,诱使搜索引擎将一个钓鱼网站认定为很有价值,并且排在搜索结果比较靠前的位置,甚至是第一位。
搜索引擎在判定一个网站价值时会参考其他网站的超链接。如果一个网站A有指向网站B的超链接,则搜索引擎会认为A的所有者认定B是有价值的,并乐意将自己的权重分给B。通常一个网站能分给另一个网站的权重很低,但是如果有大量的网站都链向该网站的话,积少成多,权重还是很可观的。我们可以设想,黑客仿照某银行网站开设了一个钓鱼网站,起初搜索引擎会认定该网站没有太大价值。但是,如果有大量的网站都存在超链接指向该钓鱼网站,每个网站都会分给该网站一定的权重,该钓鱼网站的权重甚至可能超过它所仿照的银行网站,排在该银行网站的前面。当用户通过搜索引擎搜索该银行网站时,可能出于对搜索引擎搜索结果的信任,访问到该钓鱼网站,从而导致银行账号、密码泄漏,甚至是经济损失。然而黑客想要获得大量网站的支持绝非易事,于是挂“暗链”成为一个不错的选择。
“暗链”难以发觉
由此可以看出,“暗链”是一种搜索引擎优化的手段,用于提高它所指向的网站的搜索排名,是最有效的搜索引擎优化方法之一。“暗链”正如它的名字所描述的一样,是一种在网页页面上不可见或极易被忽视的超链接,并尽量不去破坏网页原有的结构。虽然这些超链接在网页页面上是“不可见”的,但是仍然可以在网页源代码中看到,所以搜索引擎仍然可以通过分析网页的源代码收录这些链接。然而,人们毕竟不是搜索引擎,往往不会去关注页面上看不到的东西,所以,暗链也很难会被人发觉,甚至能够与网站“长期共存,共同发展”。
植入暗链的方式大致有两种:一种是web应用开发厂商在应用中植入的,还有一种是黑客入侵网站之后植入的。从实际检测情况来看,前者的比例相对较少。也就是说,如果一个网站存在暗链,就说明这个网站很可能已经被黑客成功入侵,网站的注册用户信息可能已经泄露,网站提供下载的资源可能被绑定了木马或后门。然而,暗链本质上就是超链接,与我们常见的超链接并没有太大的不同,所以暗链并没有对用户构成实质性的威胁,安全软件自然也不会对暗链进行检测,更不会对暗链作出拦截或提示。
图:黑客入侵网站后植入的“暗链”
黑暗中的产业链
目前挂暗链已经形成了一条完整的黑色产业链,并有取代挂马成为行业“领跑者”的趋势。
据数据显示,挂马网站数量正日趋下降,而暗链逐步超越挂马成为威胁网站安全的头号敌人。暗链之所以被黑产从业者青睐,并逐步取代挂马,主要由于以下几个原因:
风险低:我国刑法已明确挂马的量刑标准,而暗链尚无法律依据
投资少:几乎零成本,而挂马需要大量资金购买好用的网马、木马
收益稳定:只要约定时间内暗链没有被清除,黑客就可以获得收入
技术含量低:能够入侵网站即可,而挂马涉及到入侵网站、漏洞发掘、木马编写等技术。
难以检测:暗链和普通超链接没有太大的不同,且没有实质性的威胁,所以程序很难准确的判断是否存在暗链。而挂马所使用的网马和木马都可能被杀毒软件拦截。
综合以上几条优势,很多原本挂马的集团都转型去挂暗链了。
在这条产业链中,分工明确:有专人负责攻击各类型网站,有人负责收购各类网站的权限,有人负责每天检查暗链是否被删除,有人负责联系客户,有客户购买服务,甚至有人负责编写自动化挂暗链的程序并出售。
挂暗链所使用的网站来源有两种:一种是黑客自己动手,攻击网站挂暗链;还有一种是收购其他黑客的权限。有时一个网站同时被多路黑客盯上,在页面中可以看到多组暗链链接,甚至代码中存在“删我链接,我删整站”、“各挂各的,和平共赢”等字样,警告其他黑客不要删除自己的链接,由此可以看出不同“暗链”集团间利益冲突很严重。
还有人专门开办了挂暗链的工作室或公司,提供搜索引擎优化服务。这些工作室或公司根据被挂网站的权重和服务时间收费,客户可以根据自己的需要进行选择。时间大都以月为单位,也可按季度购买。被挂暗链的网站权重大多集中在1-6之间,以中小型网站为主。这类网站往往使用一些不安全的web应用,或为了满足某种需求对原本安全的应用进行二次开发,导致大量安全漏洞的出现。
图:某“暗链”团队提供的“暗链”套餐,“包补包换”
此外,政府(gov.cn)和教育(edu.cn)类网站,备受暗链青睐,被挂网站数占该类型网站总数的30%以上,成为暗链的重灾区。暗链之所以青睐这两类网站,原因主要有以下几点:
搜索引擎对这两类网站通常比较友好,分配的权重较其他类型的域名更高,用于搜索引擎优化的效果自然更好。
这两类网站通常比较稳定,较少出现没几天就消失不见的情况。
更新频率低,往往几个月不会更新一次,甚至没人维护。
业务系统通常由当地小公司开发和运维,忽视安全问题,导致系统存在大量安全漏洞。
图:2011年网站域名暗链比率
自动化挂链程序的出现导致大批网站受害。自动化挂链程序可以自动对大批网站发起扫描并针对具体漏洞进行攻击,成功获得权限后可以自动向网页或数据库中插入暗链代码。不过值得庆幸的是,自动化程序所能利用的漏洞相对较少,目前主要针对FTP权限设置漏洞、少数SQL注入漏洞和后门。
近期还曝出多起web应用官方网站提供下载的web应用中包含后门的安全事件。这些带有后门的web应用通常是被黑客替换掉的,黑客入侵该应用的官网后,向应用中植入后门并替换原来提供下载的应用。当站长们从官方网站下载了这些带有后门的web应用并完成部署时,黑客就可以利用这些后门来挂“暗链”或挂马。通常这些后门都有一定的特征,黑客可以根据特征编写自动化程序来批量挂“暗链”或挂马。
图:漏洞提交网站wooyun上近期公布的被植入后门的web应用列表
“暗链”危害不容忽视
例如近期通过百度搜索“白癜风”,然后依次对前几个搜索结果进行数据中心反查,发现排名第二的“武警北京市总队第二医院”使用了暗链的方式进行推广。
我们对百度“私服”的搜索结果进行反查,发现排名第一的easy-realty.com使用了“暗链”进行推广,共有611个网站存在该暗链。
暗链的存在往往标志着该网站存在安全漏洞,所以带有暗链的网站往往更容易被黑客入侵。此外,带有暗链的网站提供下载的资源也是不可信的,可能包含木马或后门。
暗链对政府网站来讲危害更大,当用户通过搜索引擎搜索某地政府网站时,可能从搜索引擎的描述中看到一些非法的关键词,从而影响政府的形象。境外敌对势力甚至可以根据政府网站是否存在暗链来判断一个政府网站是否存在安全漏洞,并决定是否发起攻击。成功入侵后,可以发布虚假政策信息造成群众对政府的不信任,制造政府与群众之间的矛盾,引发社会事件。
清除“暗链”,还需标本兼治
发现和解决漏洞是困扰站长的两大难题。如何判断网站被黑客入侵并挂了暗链,分析web日志是一个不错的选择,通过检索日志中的特征词,可以快速定位到漏洞位置。但是分析web日志需要有一定的经验,很多web安全厂商提供了免费的网站安全体检服务,如知道创宇的scanv.com,站长根据要求进行注册并完成验证后,可以收到一份网站的漏洞报告及修补意见,对于没有安全防护经验的站长来说,选择网站安全体检服务是个不错的选择。
若一个网站已经被入侵过了,单纯修补安全漏洞是不够的。黑客入侵一个网站之后,往往会留后门,以便下次入侵。后门不仅仅限于web层面,还可能涉及到操作系统层面,例如系统隐藏账户、终端服务开启、远程控制软件等。这就需要我们更加深入地对网站做一个全面检测。
686
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
