警惕！国内已有5000余个网站中招！关于一种大规模的暗链劫持流量的风险提示

Posted 2023-02-06 程序猿~Alive

近期，安恒信息中央研究院零壹实验室、回声实验室共同监测发现一种新型全局劫持的暗链植入行为，区别于传统的全局劫持，本次暗链植入手段隐蔽性极强，针对不同访问对象、不同页面设计了不同的响应方式。据不完全统计，监测到国内已有5000余个网站遭到同种劫持并被植入暗链，其影响范围遍布政府、教育、医疗、企业等领域，对网络空间产生了极大的威胁。

“暗链”的危害

当你在搜索引擎中搜索正常的新闻和资料时，打开的网站明显显示是正常网站，却跳转到了黄赌博等非法网站。不用怀疑这背后就是“暗链”在搞鬼。将正常的用户流量劫持至“黄赌炸”等非法网站，让用户“消费”从而“变现”，这是一种典型的黑色产业链行为。

“暗链”是一种搜索引擎欺诈手段，用于提高它所指向的网站的搜索引擎排名。其有效性、隐蔽性深受黑灰产组织的喜爱，他们往往会在一些重要网站如政府、教育、医疗等网站中植入暗链，从而窃取更多的流量权重。

窃取的流量多被用于网络黑色产业链，包括网络赌博、网络诈骗、开设色情网站、售卖违禁药毒品等犯罪行为。所以暗链不仅危害网站的正常业务，还危害人民财产安全，影响社会稳定。

手法分析

1.劫持手法分析

为了使篡改后的页面得到流量，黑灰产会在用户从搜索引擎的结果中进入时将正常页面重定向至被篡改页面。其原理是利用访问时的Referer字段，该字段表示从哪里链接到当前网页，因此可以通过Referer字段来精确地找到从搜索引擎而来的用户。

2.SEO欺诈分析

经分析，SEO欺诈的手法如上图所示：

1用户访问暗链时，返回404页面；

2用户访问首页时，返回正常页面；

3搜索引擎爬虫访问首页时，失陷服务器会访问Hacker服务器（用于控制失陷服务器的黑灰产服务器），接着会在页面植入大量“特定字符串（如图中的“POC”）+随机字符串”的暗链并返回给爬虫，并无bo彩内容，既有一定的欺骗性，又诱导爬虫去访问暗链；

4搜索引擎爬虫访问暗链时，触发爬虫UA条件，失陷服务器会访问Hacker服务器，会将篡改后的bo彩页面返回给爬虫，使得篡改页面被搜索引擎收录。

影响范围

零壹实验室自2022年6月12日通过全网监测分析，截至日前已有5107个网站遭到此种暗链植入，其中企业站点为3464个，占比67.89%，政府机关、事业单位站点共387个，占比7.57%。

1.暗链网站的行政区域分布

如下图所示，从区域分布来看，被植入暗链网站总数排前列的区域分别是广东（16.90%）、北京（11.11%）、江苏（9.88%）、河南（6.73%）、上海（6.73%）及浙江（6.09%）。

2.暗链网站的行业分布

通过对被植入暗链进行行业归类，该种暗链共影响5102个不同行业/部门。横向来看，企业站点占比最高，达到了67.89%，这是因为企业站点习惯于通过“一键建站”的方式搭建网站且疏于管理，从而导致安全水平能力较低。纵向来看，政府机关站点的检出率最高，平均每102个政府机关网站中就有一个网站被植入暗链，这可能是因为政府机关网站的权重较高，可以窃取的流量更多。

3.暗链网站的WEB应用服务器/运营商分布

按照运营商统计，中国电信占比最高，达到47.64%，联通占比29.18%，移动占比12.45%；按照服务器统计，失陷网站中IIS服务器的占比最高，达到40.59%，nginx服务器和Apache服务器次之，分别为33.46%和12.99%。

处置建议

1.关键位置排查

全局劫持往往是利用服务器响应时默认加载的全局代码文件，通过在这些文件中放置完整的代码脚本，进而实现复杂完整的判断逻辑，达到控制响应页面的目的。此处列举一些常见的全局配置文件，建议定期进行代码巡查：

1、IIS环境：Global.asa，Global.asax，web.config

2、php环境：auto_prepend_file ，auto_append_file

3、Apache环境：httpd.conf及虚拟主机相关配置文件

4、Nginx：nginx.conf

5、Include命令包含的其他配置文件

除了以上配置文件外，还需要注意各种Web服务器加载的模块，如IIS中加载的DLL文件等。

2.网站漏洞加固

被挂上链接或者篡改内容只是暗链植入的特征，网站被植入暗链意味着网站本身存在着严重的安全漏洞，管理员权限已经被黑客窃取。因此，暗链植入往往伴随着植入后门、窃取核心数据、破坏服务器等的风险。所以一旦出现暗链，不能只修复被植入暗链的网页，而是需要利用专业的漏扫设备/服务如安恒云的漏洞扫描服务，对网站进行彻底的漏洞扫描并修复。

转载来自 https://www.freebuf.com/news/337651.html