「預警通告」黑帽SEO威脅

預警摘要

近兩個月內，綠盟科技應急回應團隊陸續接收到來自銀監會對各大銀行機構的網路安全通報，通報指出CNCERT監測發現互聯網存在大批量的疑似釣魚網站，要求被通報單位進行合理處理，完善自身安全防護措施，保證企業機構的互聯網信譽和形象。

通過對多個疑似釣魚網站檢查分析，發現該起事件為同一起黑帽SEO事件。駭客的網站通過解析二級功能變數名稱來獲取二級功能變數名稱所對應網站的內容，並將其展示到駭客網站上，同時在頁面上添加了大量協力廠商連結用於提高訪問量。

攻擊者所使用的手法不必借助任何攻擊手段來篡改網站源碼添加推廣連結，只需要搭建一台公網可訪問Web服務即可，攻擊方式簡單，危害程度較高，請相關企業關注。

惡意影響分析

表面上看似釣魚事件，實則是一起借助黑帽SEO手段為網站刷流量的行為，針對此類黑帽SEO事件，綠盟科技從攻擊者的角度進行了分析，總結了此次事件的分析過程：

攻擊者將目標網站的網址寫入二級功能變數名稱，並完全複製目標網站頁面用於製造釣魚網站，同時在網站中嵌入多個協力廠商功能變數名稱超連結來提高這些功能變數名稱在SEO中的PR值（用於搜尋引擎排名），即通過刷流量的方法提高網站在搜尋引擎中的排名。

結合駭客的攻擊手法，此次攻擊事件可能帶來以下負面影響：

1、銀監會對相關機構進行通報。

2、企業形象和信譽受到影響。

3、影響搜尋引擎的查詢結果。

安全防護建議

結合針對此次事件的分析（詳情可參考[事件分析]），綠盟科技建議網站自身可通過添加功能變數名稱驗證的方法來防止該類問題的發生，

具體操作可參考下面的步驟：

在網站頁面引入jquery框架，讀取網站當前功能變數名稱是否為合法功能變數名稱，如果不是，就跳轉到正常功能變數名稱，並給與用戶相應的提示。參考代碼如下：

運行效果如下圖所示：

事件分析

在對監測發現的73個疑似的釣魚網站進行檢查，共發現了56個惡意功能變數名稱（可參考附錄安全指標章節），這些功能變數名稱均採用相同的方式實現對銀行的網站複製並嵌入推廣連結，在不到一個月的時間內銀監會發現並通報了多家銀行機構，

下圖是以alsmr.cn惡意功能變數名稱為例，複製了綠盟科技官網頁面並進行展示，同時嵌入了多個推廣連結。

例如：當訪問www-nsfocus-net.alsmr.cn連結時，駭客伺服器會根據二級功能變數名稱www-nsfocus-net將綠盟科技的頁面展示出來：

顯示的頁面中還被嵌入了其他網站連結，如上圖紅框所示，部分源碼截圖如下：

對收集到的73個網址進行ping測試，發現每個功能變數名稱所對應的IP都不同，猜測攻擊者通過多個IP捆綁功能變數名稱的方式，來躲避IP封堵。

通過搭建DNSLog平臺（一款監控 DNS 解析記錄和 HTTP 訪問記錄的工具）對收集到的73個釣魚URL進行測試，發現訪問這些網站均會向IP 45.34.43.154發送請求，Referer欄位中還添加了http://www.baidu.com，從而欺騙監控設備認為該請求來自於百度搜索。由於百度搜索後的URL連結往往帶有很多搜索參數，而這裡的Referer不包含任何參數，因此可以判斷出該欄位屬於人為偽造。

針對IP 45.34.43.154進行查詢，發現是位於洛杉磯的境外IP。

結合綠盟威脅情報平臺（NTI）對一些功能變數名稱進行抽樣查詢，發現該註冊人同時註冊了大量類似的功能變數名稱，由此可以猜測攻擊者實際發起的攻擊可能比所監控到的範圍更廣。

聲明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。

由於傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。

綠盟科技擁有對此安全公告的修改和解釋權。

關於綠盟科技

北京神州綠盟資訊安全科技股份有限公司（簡稱綠盟科技）成立於2000年4月，總部位於北京。在國內外設有30多個分支機搆，為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶，提供具有核心競爭力的安全產品及解決方案，説明客戶實現業務的安全順暢運行。

基於多年的安全攻防研究，綠盟科技在網路及終端安全、互聯網基礎安全、合規及安全管理等領域，為客戶提供入侵偵測/防護、抗拒絕服務攻擊、遠端安全評估以及Web安全防護等產品以及專業安全服務。

北京神州綠盟資訊安全科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市交易，股票簡稱：綠盟科技，股票代碼：300369。

如上圖紅框所示，部分源碼截圖如下：