公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

安心守護丨2022 網(wǎng)絡(luò)安全態(tài)勢之網(wǎng)頁篡改篇：為黑灰產(chǎn)引流的4大進化手法

閱讀量：次 文章來源：安恒信息

年度報告

?2022?

《2022年度網(wǎng)絡(luò)安全綜合態(tài)勢觀察手冊》現(xiàn)已發(fā)布：

【今日上線，一覽無遺】《2022年度網(wǎng)絡(luò)安全綜合態(tài)勢觀察手冊》，囊括6大報告！（點擊文字查看往期文章）

本文摘選了報告部分總結(jié)，文末提供2種完整版報告獲取方式：

1、在線預(yù)覽地址；

2、報告下載地址。

背景

為黑灰產(chǎn)網(wǎng)站引流是網(wǎng)頁篡改常見的目的之一。安恒信息零壹實驗室發(fā)現(xiàn)隨著防范手段的進化，黑灰產(chǎn)引流的手段也千變?nèi)f化。下面為零壹實驗室本年對于黑灰產(chǎn)引流的研究成果，其中有些可能不屬于網(wǎng)頁篡改的范疇，但由于大量政府、事業(yè)單位都被用于黑灰產(chǎn)引流，因此同樣值得監(jiān)管單位和網(wǎng)站管理員加以重視。

1、多達46942個網(wǎng)站受到了寄生蟲病毒的攻擊

據(jù)零壹實驗室監(jiān)測發(fā)現(xiàn)，2022年有46942個網(wǎng)站受到了寄生蟲病毒的攻擊。寄生蟲程序作為一種黑帽SEO手段，會利用搜索引擎算法的漏洞，使用作弊手段，達到關(guān)鍵詞收錄、網(wǎng)頁提權(quán)的目的。每次搜索引擎訪問時，便會在失陷網(wǎng)站下自動生成大量的寄生蟲網(wǎng)頁，這些寄生蟲網(wǎng)頁里具備以下特點：

1.充斥著大量非法關(guān)鍵詞，其目的是利用失陷網(wǎng)站在搜索引擎中的先驗高權(quán)重使得這些關(guān)鍵詞被搜索引擎快速收錄。這些文本通常出現(xiàn)在網(wǎng)頁的title、keywords、description（TKD）位置——這些位置為搜索引擎判斷網(wǎng)頁內(nèi)容主題的主要來源。

2.網(wǎng)頁包含大量輪鏈——一種鏈接到其他失陷網(wǎng)站寄生蟲頁面的結(jié)構(gòu)，其目的是利用搜索引擎爬蟲會爬取頁面中外鏈的特性讓爬蟲去訪問其他的失陷站點，而上文提到每次訪問時，病毒又會產(chǎn)生大量寄生蟲頁面，最終搜索引擎爬蟲會在茫茫失陷站點群中不停地來回訪問，而這些寄生蟲頁面就會被搜索引擎快速收錄。

由于每次訪問受害者網(wǎng)站都會自動“繁殖”出大量包含非法關(guān)鍵詞及鏈接的頁面，黑灰產(chǎn)會借助這個網(wǎng)站在搜索引擎中的高權(quán)重達到快速排名的效果，而“宿主”網(wǎng)站在不知情的情況下給黑產(chǎn)“借了東風(fēng)”。

某事業(yè)單位遭受寄生蟲病毒攻擊，產(chǎn)生大量博彩頁面

2、黑灰產(chǎn)利用反向代理來鏡像建蜘蛛池

搜索引擎為了給搜索者呈現(xiàn)更好的搜索結(jié)果，會對網(wǎng)站內(nèi)容打分，高質(zhì)量的內(nèi)容能夠獲得更高的seo權(quán)重，在呈現(xiàn)搜索結(jié)果時會在更靠前的位置。灰黑產(chǎn)并不會老老實實去生產(chǎn)內(nèi)容，而是使用反向代理來鏡像整個網(wǎng)站盜取高質(zhì)量的內(nèi)容。下圖為灰黑產(chǎn)使用反向代理鏡像了整個政府網(wǎng)站并替換了里面的鏈接和關(guān)鍵詞。

黑灰產(chǎn)網(wǎng)站反向代理天津市和平區(qū)人民政府

3、正常網(wǎng)站的搜索功能被用于黑灰產(chǎn)引流

很多網(wǎng)站都具備搜索功能，方便用戶快速地在大量信息中檢索到自己想要的內(nèi)容。但殊不知，這一常見的功能如不加以限制也可能成為黑灰產(chǎn)引流的手段。其原理為利用搜索功能構(gòu)造包含黑灰產(chǎn)推廣信息的URL，如百度搜索功能的URL格式為“ https://www.baidu.com/s?wd=”加上要搜索的文字。而搜索引擎爬蟲在會對這些惡意構(gòu)造的URL進行收錄，接著利用這些網(wǎng)站自帶的高權(quán)重讓這些URL獲得了很高的搜索引擎排名。據(jù)零壹實驗室監(jiān)測發(fā)現(xiàn)，眾多政府網(wǎng)站、高校及知名上市公司如小米、百度等具備搜索功能的網(wǎng)站在搜索引擎中都有為黑灰產(chǎn)引流的URL存在。

某正常網(wǎng)站疑似被掛黑鏈頁面

4、推廣關(guān)鍵詞緊跟時事且愈加隱蔽

從全年的推廣關(guān)鍵詞分布來看（字體越大表示出現(xiàn)頻數(shù)越高），以博彩、色情、代孕、武器等方面的非法內(nèi)容居多，其中博彩、色情的關(guān)鍵詞占比最高。除此之外，可以發(fā)現(xiàn)黑灰產(chǎn)會大量使用一些語義正常的單詞如“給大家科普一下”、“上門私教”等。這些短語的特點是分開看是正常的，但拼接在一起會起到隱晦的暗示意義。與常規(guī)的近音詞、形近詞混淆（如將“六合彩”混淆為“六盒彩”）不同，該種混淆方式可以有效地避開搜索引擎的常規(guī)敏感詞檢測。