黑暗中的产业链:攻击网站后添加暗链状况

2012-07-13 00:07:49  来源:《中国信息安全》 

Webjx.Com网页提示:网站安全新隐患——暗链.

黑暗中的产业链

目前挂暗链已经形成了一条完整的黑色产业链,并有取代挂马成为行业“领跑者”的趋势。

据数据显示,挂马网站数量正日趋下降,而暗链逐步超越挂马成为威胁网站安全的头号敌人。暗链之所以被黑产从业者青睐,并逐步取代挂马,主要由于以下几个原因:

风险低:我国刑法已明确挂马的量刑标准,而暗链尚无法律依据

投资少:几乎零成本,而挂马需要大量资金购买好用的网马、木马

收益稳定:只要约定时间内暗链没有被清除,黑客就可以获得收入

技术含量低:能够入侵网站即可,而挂马涉及到入侵网站、漏洞发掘、木马编写等技术。

难以检测:暗链和普通超链接没有太大的不同,且没有实质性的威胁,所以程序很难准确的判断是否存在暗链。而挂马所使用的网马和木马都可能被杀毒软件拦截。

综合以上几条优势,很多原本挂马的集团都转型去挂暗链了。

在这条产业链中,分工明确:有专人负责攻击各类型网站,有人负责收购各类网站的权限,有人负责每天检查暗链是否被删除,有人负责联系客户,有客户购买服务,甚至有人负责编写自动化挂暗链的程序并出售。

挂暗链所使用的网站来源有两种:一种是黑客自己动手,攻击网站挂暗链;还有一种是收购其他黑客的权限。有时一个网站同时被多路黑客盯上,在页面中可以看到多组暗链链接,甚至代码中存在“删我链接,我删整站”、“各挂各的,和平共赢”等字样,警告其他黑客不要删除自己的链接,由此可以看出不同“暗链”集团间利益冲突很严重。

还有人专门开办了挂暗链的工作室或公司,提供搜索引擎优化服务。这些工作室或公司根据被挂网站的权重和服务时间收费,客户可以根据自己的需要进行选择。时间大都以月为单位,也可按季度购买。被挂暗链的网站权重大多集中在1-6之间,以中小型网站为主。这类网站往往使用一些不安全的web应用,或为了满足某种需求对原本安全的应用进行二次开发,导致大量安全漏洞的出现。

图:某“暗链”团队提供的“暗链”套餐,“包补包换”

此外,政府(gov.cn)和教育(edu.cn)类网站,备受暗链青睐,被挂网站数占该类型网站总数的30%以上,成为暗链的重灾区。暗链之所以青睐这两类网站,原因主要有以下几点:

搜索引擎对这两类网站通常比较友好,分配的权重较其他类型的域名更高,用于搜索引擎优化的效果自然更好。

这两类网站通常比较稳定,较少出现没几天就消失不见的情况。

更新频率低,往往几个月不会更新一次,甚至没人维护。

业务系统通常由当地小公司开发和运维,忽视安全问题,导致系统存在大量安全漏洞。

图:2011年网站域名暗链比率

自动化挂链程序的出现导致大批网站受害。自动化挂链程序可以自动对大批网站发起扫描并针对具体漏洞进行攻击,成功获得权限后可以自动向网页或数据库中插入暗链代码。不过值得庆幸的是,自动化程序所能利用的漏洞相对较少,目前主要针对FTP权限设置漏洞、少数SQL注入漏洞和后门。

更多