2018年度 上半年暗鏈監測分析報告
1. 報告概述
安恆資料大腦近期跟蹤發現,國內站點暗鏈情況較為嚴重,據不完全檢測統計發現,國內有超過5萬站點已被植入暗鏈/黑鏈,其中企業由於體量巨大與安全能力較弱成為了重災區,而近千起的政府、事業單位網站也淪陷為黑產牟利工具,其中縣市區的站點佔比在50%以上,是我國重要站點受害嚴重的群體。
由於暗鏈的植入是一個通過漏洞利用、後門植入、維護暗鏈的過程,網站的安全程度與管理員的維護情況直接相關,這些站點的淪陷也是由於安全能力與安全意識不到位引起。
暗鏈的猖獗很大程度上是由上游黑產暴利行業的推動,本次檢測資料發現博彩已成為暗鏈的最大源頭,其次為代孕、色情、私服遊戲、開房記錄查詢這類無法公開宣傳推廣,需要通過暗鏈渠道提升搜尋排行的黑灰產。
因此暗鏈不僅僅是單個站點安全問題,更是網路空間中的非法產業的滋生傳播,影響網路空間和社會秩序的問題。
綜上所述,暗鏈的治理需要我們進一步行動起來,一方面,網站運營單位需加大對暗鏈的安全認識程度,在安全加固、暗鏈清理、後門清查等方面進行全面的檢查,加強日常的安全監測與管理;另一方面,行業主管單位與網路安全監管部門,需要進一步提升對網路空間黑灰產的治理,通過暗鏈的現象的監管與整改,切斷其傳播渠道與媒介。
2. 暗鏈成為影響網站安全的頭號問題
2.1. 我國過萬站點被植入暗鏈
2018年上半年,安恆資料大腦檢測分析到全國約13萬起暗鏈事件(以url為計數單位),共涉及約5.6萬個網站,其中有95.93%的站點是企業站點,政府機關事業單位網站有1042個,佔全部被植入暗鏈網站總數的1.85%,從被植入暗鏈網頁的頂級域名分佈來看,“com”佔比最多,佔總數的73.46%。
2.2.1 暗鏈網站的區域分佈
從資料大腦收錄的資料來看,全國共有56294個網站被植入暗鏈,如下圖所示,31個省、直轄市及自治區中或多或少都存在暗鏈事件。各省網站暗鏈總數排名前五名的地區分別為廣東(佔比12.5%)、江蘇(佔比10.2%)、北京(佔比9.6%)、上海(佔比8.0%)、山東(佔比7.9%),這五個省份的暗鏈網站的總數約為所有暗鏈網站總數的50%。
圖2-1 各省網站現存暗鏈總數
2.2.2 暗鏈網站的行業分佈
根據風暴中心對上述5.6萬個被植入暗鏈網站進行單位/行業歸類,共統計影響近14個不同行業/部門,其中企業站點為受攻擊的重災區,佔全部被植入暗鏈網站總數的95.93%,企業站點安全水平能力較低,總體數量多,非常容易受到黑客攻擊,植入暗鏈也難於被察覺,因此可長期有效。
其他非企業站點植入暗鏈情況分佈如下:
圖2-2 非企業行業被植入暗鏈網站行業佔比圖
2.2. 影響我國政府、事業等行業
根據安恆資料大腦分析,統計資料中被植入暗鏈的政府機關網站有215個,事業單位有827個。通過對我國這兩類重要單位的行政等級進行分析,發現有明顯的行政級別區分,如下圖所示:
圖2-3 事業單位被植入暗鏈網站省市縣分佈圖
圖2-4 政府單位被植入暗鏈網站省市縣分佈圖
通過上圖,可以很明顯看出基本都是縣市區的網站被植入暗鏈較多,佔比過半,主要原因是,縣市區的小網站更新頻率低,往往幾個月不會更新一次,甚至沒人維護,而且事業單位或者政府網站通常比較穩定,較少出現沒幾天就消失不見的情況。
地方縣市區的業務系統通常由當地小公司開發和運維,忽視安全問題,導致系統存在大量安全漏洞,容易被植入暗鏈。
2.3. 暗鏈網站被黑客重複利用,隱患重重
我們通過將暗鏈地址與威脅情報資料關聯分析後,發現大量的暗鏈地址同時也是C2、釣魚地址、放馬地址、掃描主機、漏洞利用等被惡意利用地址。
圖2-5 暗鏈地址與威脅情報關聯結果部分截圖
雖然暗鏈對網站本身沒有什麼實質性威脅,但是暗鏈的存在往往標誌著該網站存在安全漏洞,所以帶有暗鏈的網站往往更容易被反覆入侵,重複利用。
3. 暗鏈的隱蔽性日趨多樣化
3.1. 傳統暗鍊形式較為單一
傳統的暗鍊形式非常單一,暗鏈的實現原理很簡單,如採用CSS樣式設定以達到暗鏈不可見的目的,把黑鏈的display元素設定為none、把黑鏈的標籤顯示顏色調為和網頁頁面顏色一致、把黑鏈浮動或者定位在網頁不可瀏覽到的位置等。
傳統的黑客實施暗鏈的手法大同小異,此時暗鏈的“暗”在於它是隱藏在網頁原始碼中的,通過肉眼直接在頁面上看不見的,但只要開啟原始碼就可以看到連結內容。
3.2. 新型暗鏈植入與推廣方式多樣化
隨著暗鏈的發展,搜尋引擎也開始對傳統暗鏈方法進行識別和打擊,為了不被搜尋引擎識別,各種花樣植入方式也紛紛興起:
1、搜尋引擎識別:黑客通過在頁面中加入搜尋引擎判斷,使得一般使用者無法發現暗鏈。指令碼能夠識別是搜尋引擎來訪問網站還是使用者來訪問網站,當搜尋引擎來訪問網站的時候,就會跳轉到暗鏈頁面,當用戶訪問的時候又會跳轉到另外一個頁面。
圖3-1 正常使用者訪問返回介面
圖3-2 搜尋引擎訪問返回介面
2、對植入的暗鏈內容進行編碼,這類不多見,可以讓站長看原始碼時也不一定能快速發現;
圖3-3 暗鏈頁面
3、暗鏈內容隨機呈現,可同時推廣更多的暗鏈,也可不被快速察覺。
圖3-3 隨機暗鏈頁面
其他的如寄生蟲模板批量植入、關鍵詞堆砌、橋頁等形式,不難發現暗鏈的植入與推廣方式也正在推陳出新,為了暗鏈能夠長期潛伏與提高排名,不斷地與站長,與搜尋引擎進行“鬥智鬥勇”。
4. 暗鏈黑色產業發展成熟
4.1. 暗鏈產業多環節分工合作
暗鏈產業鏈有很多環節,或者說分上中下游,其中的每一個環節都有其利潤所在,每個環節都有不同的分工和不同的利益分配。
“黑鏈產業鏈”裡的上游可能是一些非法網站的擁有者,這些網站有很強的勾引性,出售的服務或者產品都是正常市場不被許可的,大多都是非法的或者禁止銷售的產品,例如博彩色情等。
位於產業鏈中游是銷贓平臺,其中的“銷售”人員,在網上做廣告招攬“客戶”。下圖為某個網上黑鏈套餐標價:
圖4-1某個網上黑鏈套餐標價
產業鏈的下游主要是執行產業部門,利用網站後門、網站許可權等植入暗鏈,並對其進行維護;
圖4-2 暗鏈黑產鏈上中下游分佈
在這條產業鏈中,分工明確:有專人負責攻擊各型別網站,有人負責收購各類網站的許可權,有人負責每天檢查暗鏈是否被刪除,有人負責聯絡客戶,有客戶購買服務,甚至有人負責編寫自動化掛暗鏈的程式並出售。主要工作流程如下:
- 尋找網站漏洞,破解密碼,侵入網站並植入“後門”或花錢購買黑客工具和網站“許可權”並控制;
- 網上做廣告招攬“客戶”;
- 收取客戶費用,登入網站“後門”,向被控制網站新增“黑鏈”程式碼並維護;
- 搜尋灰色關鍵詞,“客戶”的排名靠前。
4.2. 非法暴利行業推動黑鏈產業發展
本次統計了植入暗鏈的內容,從被植入的暗鏈關鍵字詞雲可以看出,暗鏈指向的網站絕大多數是博彩、色情、遊戲私服、代孕、虛假醫療甚至開房記錄查詢等灰色暴利產業,這些產業不太可能以正式方式獲得流量。首先,搜尋引擎會降級這些網站;其次,廣告網路不敢接受這種廣告的放置。因此,許多網站將通過暗鏈方式以獲得地下流量。這些黑灰產業背後就蘊藏著巨大的經濟利益,推動了暗鏈產業鏈的形成和發展,而暗鏈又稱為了黑色產業傳播的重要媒介。
圖4-3 被植入的暗鏈關鍵字統計詞雲
下圖為某網站被植入博彩暗鏈詳情:
圖4-4 被植入的博彩暗鏈網站示例
2017年曾報道合肥非法控制計算機資訊系統案,3人黑客團伙控制四百網站掛灰色廣告業務“黑鏈”,僅僅3個月牟利10萬元。這僅是小團體犯案,成型的黑鏈產業獲利更是無法估量。
4.3. 不同暗鏈黑產組織間存在利益衝突
掛暗鏈所使用的網站來源有兩種:一種是黑客自己動手,攻擊網站掛暗鏈;還有一種是收購其他黑客的許可權。有時一個網站同時被多路黑客盯上,在頁面中可以看到多組暗鏈連結,甚至程式碼中存在“刪我連結,我刪整站”、“各掛各的,和平共贏”等字樣,警告其他黑客不要刪除自己的連結,由此可以看出不同“暗鏈”集團間也存在利益衝突。如下圖所示:
圖4-5 黑產暗鏈之間的競爭
4.4. 網站使用者的忽視或默許縱容發展
如今,網站暗鏈事件雖然比比皆是,但對於大部分網站來說,暗鏈和普通超連結沒有太大的不同,只是這些超連結在網頁頁面上是“不可見”的,且暗鏈並沒有對使用者構成實質性的威脅,安全軟體自然也不會對暗鏈進行檢測,更不會對暗鏈作出攔截或提示,所以,部分網站負責人會忽視暗鏈的存在,甚至形成暗鏈與網站“長期共存”的現狀。
5. 加強對暗鏈的清理與徹底整治
5.1. 需要充分意識暗鏈存在巨大的潛在威脅
從本次分析的網站情況來看,暗鏈網站不但是已經被黑客入侵,頁面被植入非法連結,也會由於網站的安全問題引發被黑客重複入侵,甚至被用於掛馬、C2通訊等,成為黑產牟利工具,佔用計算資源與網路頻寬,影響網站業務開展。
5.2. 暗鏈清理需要徹底整治
部分的安全運維人員在發現暗鏈後,直接一刪了事,但是大部分網站已被植入後門,如未清理,則會被反覆掛鏈利用。正確的方式是進行全盤檢查,找到最新的可疑檔案,或者採用終端安全檢測工具,查詢後門檔案進行刪除清理。最後還需要對網站的漏洞進行整改修復,進行安全防護,防止被再次入侵。
5.3. 暗鏈的安全監管需進一步提升
對於行業主管單位或者網路安全監管部門,建議加強對暗鏈的檢測與監管,像整治可見的安全事件如網頁篡改的力度一樣,從上至下加強安全重視與整改,才能扭轉目前國內暗鏈肆意橫行的現狀,切斷黑灰產的傳播推廣渠道,清朗網路空間。