溯源“西安环卫网事件“背后黑产域名抢注引流手法

渗透技巧 2年前 (2023) admin
502 0 0

点击蓝字关注我们

      近日,安恒信息中央研究院零壹实验室发现黑灰产团伙抢注了以“西安环卫网”为缩写的域名xahww.com并在里面夹带了色情信息,利用链接跳转为色情app”小黄书”进行推广引流。黑灰产抢注这些域名,一方面是用来窃取原网站和链接了原网站的网站的流量,另外一方面部分被抢注的域名可能还处于有效的备案状态,多被用来绕过各种安全检查机制。


      由于其域名的欺骗性,给大众造成了“政府网站管理不力”的误解。除此之外,引用了抢注域名的网站会被陷入“”向非法网站引流的被黑状态”,变成传播违法信息的帮凶,所以各网站应该要加强自身网站的外链安全检查。


1


事件概述

溯源“西安环卫网事件“背后黑产域名抢注引流手法


      2023年2月3日,网上盛传西安环卫网涉黄,网站中包含众多日本成人影片信息,一时间网上众说纷纭,有说是网站遭到黑客入侵,也有的说是网站交给外包公司,照抄了黄色网站模板,忘记删除原有的色情信息导致的。


      安恒信息中央研究院零壹实验室第一时间针对该事件进行调查,捋出了详细的时间线(如下图,具体研究过程及证据链在第三节展示),并确定该事件是由黑灰产抢注域名并假借政府网站的名号为色情app引流导致的,对政府的形象造成了极大地伤害。本文将深度解析事件脉络以及什么是抢注、为什么要抢注、抢注后如何为黑灰产引流等等。

溯源“西安环卫网事件“背后黑产域名抢注引流手法


2


事件背后的黑灰产引流产业链

      经过零壹实验室的研究,本事件涉及域名抢注、黑灰产流量站点搭建,这一切都是为了黑灰产引流服务的。所谓域名抢注,即一个被注册过的域名,如果未能够在有效期结束前及时续费,则会在一段时间后被删除或者拍卖,而这期间该域名就有可能被黑灰产抢先一步注册。黑灰产为什么要抢注域名呢,我们推测有以下原因:

1

域名名称有较高价值,用于勒索原有域名的使用者或欺骗正常用户。如xahww.com是“西安环卫网”的拼音缩写,这样的域名搭配上logo很容易让人误以为这就是官方网站;

2

抢注域名可以获得其原有流量,用于欺骗搜索引擎爬虫。可以将互联网里的每个网站想象成一块块种着庄稼的田地,爬虫、用户的访问流量就是浇灌田地的水,种植农作物的良田(网站内容合法、优质、易读)容易得到爬虫的垂青,因此十分肥沃;而新建的/种植毒品的田地(指代包含违法信息的黑灰产网站)不会直接得到很多的水源,因此十分贫瘠。而抢注域名后,黑灰产会通过一定手段将正常网站里面的水引向自己的违法田地。在经过大量的引流后,黑灰产的违法田地也会同样枝繁叶茂。


3


事件复盘

1

抢注溯源

     从whois记录来看,xahww.com域名注册于2013年2月4日,并在2022年2月4号注册到期后进入30天的续费宽限期,及29天的高价赎回期后进入等待删除。

溯源“西安环卫网事件“背后黑产域名抢注引流手法


      在xahww.com域名可以被抢注后于2022年4月8日被灰黑产抢注。

溯源“西安环卫网事件“背后黑产域名抢注引流手法


     根据谷歌爬虫的快照记录,可以发现该网站于2022年11月10日出现了色情内容。

溯源“西安环卫网事件“背后黑产域名抢注引流手法


2

黑灰产引流分析

     经研究黑灰产是通过链接跳转+终端判断来达到的引流。url为https://www.xahww.com/wp-content/themes/xahww/inc/go.php?url=http://js.yimintong.org.cn/go.html,虽然由于原网站已无法访问,但猜测该链接是跳转至http://js.yimintong.org.cn/go.html这个url的,查了一下这个网站的icp备案,发现隶属于乌鲁木齐市工业和信息化局,因此以为这只是个正常的url。

溯源“西安环卫网事件“背后黑产域名抢注引流手法


      尝试访问了一下,发现访问失败。

溯源“西安环卫网事件“背后黑产域名抢注引流手法


      但网页篡改的经验让我抱着试一试的态度,在源码中继续搜索了一下发现了奇怪的js——https://cdn.yimintong.org.cn/jump/skin/ecms074/js/thea9.js。打开后发现了异常。

溯源“西安环卫网事件“背后黑产域名抢注引流手法


      该代码会判断访问者平台,若为手机或者linux系统会加载另一个js——https://cdn.yimintong.org.cn/jump/skin/ecms074/js/pinglun.js。继续访问发现该js会判断访问的是否为移动端并跳转至http://js.yimintong.org.cn/go1.html这个url。

溯源“西安环卫网事件“背后黑产域名抢注引流手法


     用手机打开上述url,发现端倪,会跳转至https://js.vrruijin.com/download1/789_0.html,显示色情app下载内容,即为黑灰产引流的poc。

溯源“西安环卫网事件“背后黑产域名抢注引流手法


4


总结

      黑灰产利用抢注的域名作为违法信息的传播媒介,可以毫不费力地将链接到抢注域名的网站都引向自己的非法页面,使得政府、事业单位等重点单位的网站在不知情的情况下呈现一种被黑客攻陷的状态,因此关注网站的外链安全十分有必要。


      所谓外链安全,即网站会有很多指向外部的链接,如果黑灰产抢注了这些外链,即可不费吹灰之力让所有包含该链接的所有网站为其进行引流,而网站管理员很难及时识别自己网站中被抢注的外链,因此常常会在较大事故后才对外链安全现象后知后觉。


      其中较为轰动的是发生在2017年的“人民教育出版社教材挂赌博链接”事件。事件的起因是普通高中课程标准实验教科书《生物必修3:稳态与环境》的第14页有一个“网站登录”栏目,中包含链接(www.sw-sj.com),打开后是一个赌博网站,页面上充斥着“赌场”、“斗地主小游戏”等字样。在当时造成了非常恶劣的影响,后经证实是由黑灰产抢注了原本应该是生物教材网站的sw-sj.com域名。


溯源“西安环卫网事件“背后黑产域名抢注引流手法


溯源“西安环卫网事件“背后黑产域名抢注引流手法

安恒安全数据部, 下设猎影实验室、零壹实验室、析安实验室和回声实验室,团队以数据分析与技术研究为核心,致力于数据驱动安全创造用户价值。

零壹实验室


溯源“西安环卫网事件“背后黑产域名抢注引流手法

网络空间安全威胁与事件研究团队,专注于基于人工智能等技术发现网络空间安全事件与潜在威胁的研究。

网络安全研究宅基地

溯源“西安环卫网事件“背后黑产域名抢注引流手法

扫码关注我们

一群技术宅

原文始发于微信公众号(网络安全研究宅基地):溯源“西安环卫网事件“背后黑产域名抢注引流手法

版权声明:admin 发表于 2023年2月9日 下午12:00。
转载请注明:溯源“西安环卫网事件“背后黑产域名抢注引流手法 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...