網站篡改攻擊定義和動機

地下經濟

黑客攻擊的主要動機之一便是謀求經濟利益，SEO是搜索引擎優化（Search Engine Optimization）的縮寫，由于搜索引擎占互聯網入口流量的60%以上[1]，對搜索排名的優化直接影響到網站的市場營銷效果。為提升搜索排名，與通過內容創造以優化網站內容質量的白帽SEO方案相比，非法的黑帽SEO往往非?？焖俣矣行?。所以在網絡地下黑產的世界，黑帽SEO是流量快速變現的重要手段。

網絡博彩、網絡色情等地下經濟背后是巨大的利潤，因此此類非法服務運營者經常和黑帽SEO運營者合作，通過購買黑客攻陷的合法站點控制權，批量篡改被控網站的頁面，實現博彩站點推廣。

以下幾個截圖展示黑帽SEO的典型效果，可以看到，通過嵌入各類博彩長尾詞[2]及博彩網站鏈接，篡改合法網站頁面，從而讓合法站點成為非法博彩站點的引流工具。

▲利用篡改合法gov.cn網站實現黑帽SEO

▲向合法網站標題和內容嵌入博彩鏈接及關鍵詞實現黑帽SEO

向篡改的站點嵌入惡意代碼，如遠控程序或病毒，并通過欺騙性的文本引誘網頁瀏覽者下載安裝，進一步通過中招的主機拓展僵尸網絡或實施信息竊取從而變現也是部分黑客攻擊的重要手段之一。參考文獻[5]介紹了一種通過向被篡改網站嵌入虛假瀏覽器更新的方式實現攻擊瀏覽者計算機,拓展僵尸網絡的手法。

▲通過虛假的瀏覽器更新提示欺騙瀏覽者下載惡意腳本[5]

在Coinhive提供瀏覽器挖礦服務接入API后，通過篡改網站，向被篡改站點網頁嵌入瀏覽器挖礦腳本，從而控制網站瀏覽者計算機資源為攻擊者挖礦，也成為一種有效的地下經濟變現方式。參考文獻[6]詳細介紹了該種攻擊方式的技術細節。

▲挖礦劫持瀏覽器計算資源進行挖礦[7]

純炫耀目的黑客行為主義

在網絡空間，hacktivism（或hactivism）被稱為黑客行為主義，特指通過使用技術手段，意圖達成政治或社會影響的一種行為，也被稱為“網絡恐怖主義”[3]。

▲國外非法組織對我國站點的惡意篡改

網站內容篡改趨勢

（注：以下分析主要關注SEO類型和涉及政治的炫耀式篡改，暫不涉及惡意代碼注入及資源濫用型篡改。）

SEO篡改

在最近半年的監測過程中，我們發現博彩、色情、游戲類篡改是黑帽SEO的主流類型。相比過去，醫療、代孕廣告類數量減少，可能和監管機關對非正規醫療機構推廣限制有關。

▲深信服篡改監控引擎發現的篡改類型占比情況

對近期收集分屬于2563個domain的22939個SEO篡改頁面的搜索引擎來源進行統計：

基于上述數據，可通過下圖直觀了解SEO篡改來源于國內不同搜索引擎的占比，以及各個搜索引擎的風險提示占比。其中SEO篡改來源占比越高意味著被利用進行SEO的推廣明顯較多，而風險提示占比則體現各搜索引擎對SEO篡改的監控力度。建議SEO篡改來源占比較高的搜索引擎增加黑產打擊力度，以此降低用戶發生經濟損失的風險。

▲SEO來源及搜索風險提示占比

近期深信服發現一種重要的網站黑帽SEO趨勢：注冊已經被政府機關拋棄但曾用過的域名用來搭建博彩等暴利網站，大量政府機關含有舊域名鏈接的網頁就成了非法站點的天然外鏈，可以有效提升其PR值。

▲一個曾經的公益站點在域名過期后成為黑帽SEO工具

從上圖可以看到，曾經的公益站點 由于域名過期，現在竟然也成了博彩類站點，曾經指向該站點的合法頁面，也成了天然的SEO頁面。

從近期出現的博彩黑詞的頻率看，主要集中在北京賽車、時時彩、分分彩等比較流行的非法在線賭博游戲類型，建議公安機關對頻次最高的在線賭博加強打擊力度。詳細博彩游戲頻次分布如下：

某政治黑客團體篡改攻擊事件和趨勢

近年來，隨著我國國際影響力不斷擴大，海外反華及敵對分子不斷對我國境內站點進行滋擾，如以南海諸島及國內社會事件為主題的對我國境內站點的篡改攻擊。

▲站點名稱含有地級市名的被篡改站點數量的所屬區域統計

從歷史看，浙江、北京、廣東、江蘇、上海、山東等IT發展大省的站點被篡改比例較高。

▲ 某涉政黑客組織對我國境內站點篡改數量趨勢

從篡改數量變化趨勢(上圖)看，上海、山東、遼寧、云南、湖南等省在2018年被上述涉政黑客組織攻擊的占比在逐漸增高。

從行業看，排名第一位的是各類教育機構，包括中小學、職業教育、高校及科研機構等；排名第二位的是政府及各類政務服務平臺及民主黨派網站等；其次是各類行業服務、企業、社會服務等站點；統計分布圖如下：

▲我國被篡改站點的行業分布

2013年中至2016年中，篡改內容基本是各種不文明用語加基于政治、社會的新聞事件的對政府的惡意中傷和誹謗。從2017年2月，其篡改文本風格開始發生較大變化，趨于幼稚化，但對被篡改站點的聲譽依然帶來十分不利影響。

網站篡改攻擊手法

利用網站漏洞實現對網站主機控制并篡改網站頁面是主要的攻擊手法，基于2016年一針對全球被篡改網站的統計分析[4]表明，文件包含、SQL注入以及對已公開漏洞的利用攻擊是網站篡改的主要原因。

▲被篡改網站的篡改原因統計[4]

網站篡改防御建議

基于對網站黑客在他們攻擊的站點上的簽名與ExploitDB漏洞提交者賬號間的對比分析，文獻[4]展示了對被篡改網站漏洞類型的統計，可見Web應用漏洞是網站被篡改的主要原因。

▲網站篡改原因統計

在此，對廣大網站維護者的防篡改建議如下：

（1）確保網站使用了必要的安全策略：如強密碼、正確的管理員權限分配、及訪問安全策略配置；

（2）使用應用層防火墻以便過濾、監控、并阻止有害的流量，Web應用層安全必不可少；

（3）務必在開放訪問的所有Web應用開發階段使用必要的安全編碼規則；

（4）經常使用安全監測機制驗證網站的安全性；并對Web應用進行包括SQL注入漏洞、XSS漏洞等常見漏洞檢測；

（5）確保自己的Web應用、中間件、操作系統等始終處于必要的補丁更新狀態，避免黑客利用已知漏洞攻擊自己的站點。

參考文獻

[1] searchenginewatch.com, Organic Search Accounts for Up to 64% of Website Traffic[STUDY],https://searchenginewatch.com/sew/study/2355020/organic-search-accounts-for-up-to-64-of-website-traffic-study, 2014

[2] Jayson DeMers, How to Identify Long-Tail Keywords for Your SEO Campaign,

https://www.advancedwebranking.com/blog/how-to-identify-long-tail-keywords-for-your-seo-campaign/ , 2013

[3] https://en.wikipedia.org/wiki/Hacktivism

[4] Marco Balduzzi, Ryan Flores, A deep dive into defacement,

https://documents.trendmicro.com/assets/white_papers/wp-a-deep-dive-into-defacement.pdf, 2017

[5]  Jérôme Segura , ‘FakeUpdates’ campaign leverages multiple website platforms, https://blog.malwarebytes.com/threat-analysis/2018/04/fakeupdates-campaign-leverages-multiple-website-platforms/, 2018

[6] Sangfor_blueteam,攻防演練：coinhive網頁挖礦詳解,

https://mp.weixin.qq.com/s/590ipsiQoygSue6fJeeepA , 2018

[7] 陸雨柔, 挖礦 | 劫持普通用戶 CPU 進行挖礦？YouTube 用戶被迫成為“礦工”,https://36kr.com/p/5116516.html, 2018