1. 报告概述
安恒数据大脑近期跟踪发现,国内站点暗链情况较为严重,据不完全检测统计发现,国内有超过5万站点已被植入暗链/黑链,其中企业由于体量巨大与安全能力较弱成为了重灾区,而近千起的政府、事业单位网站也沦陷为黑产牟利工具,其中县市区的站点占比在50%以上,是我国重要站点受害严重的群体。
由于暗链的植入是一个通过漏洞利用、后门植入、维护暗链的过程,网站的安全程度与管理员的维护情况直接相关,这些站点的沦陷也是由于安全能力与安全意识不到位引起。
暗链的猖獗很大程度上是由上游黑产暴利行业的推动,本次检测数据发现博彩已成为暗链的最大源头,其次为代孕、色情、私服游戏、开房记录查询这类无法公开宣传推广,需要通过暗链渠道提升搜索排行的黑灰产。
因此暗链不仅仅是单个站点安全问题,更是网络空间中的非法产业的滋生传播,影响网络空间和社会秩序的问题。
综上所述,暗链的治理需要我们进一步行动起来,一方面,网站运营单位需加大对暗链的安全认识程度,在安全加固、暗链清理、后门清查等方面进行全面的检查,加强日常的安全监测与管理;另一方面,行业主管单位与网络安全监管部门,需要进一步提升对网络空间黑灰产的治理,通过暗链的现象的监管与整改,切断其传播渠道与媒介。
2. 暗链成为影响网站安全的头号问题
2.1. 我国过万站点被植入暗链
2018年上半年,安恒数据大脑检测分析到全国约13万起暗链事件(以url为计数单位),共涉及约5.6万个网站,其中有95.93%的站点是企业站点,政府机关事业单位网站有1042个,占全部被植入暗链网站总数的1.85%,从被植入暗链网页的顶级域名分布来看,“com”占比最多,占总数的73.46%。
2.2.1 暗链网站的区域分布
从数据大脑收录的数据来看,全国共有56294个网站被植入暗链,如下图所示,31个省、直辖市及自治区中或多或少都存在暗链事件。各省网站暗链总数排名前五名的地区分别为广东(占比12.5%)、江苏(占比10.2%)、北京(占比9.6%)、上海(占比8.0%)、山东(占比7.9%),这五个省份的暗链网站的总数约为所有暗链网站总数的50%。
图2-1 各省网站现存暗链总数
2.2.2 暗链网站的行业分布
根据风暴中心对上述5.6万个被植入暗链网站进行单位/行业归类,共统计影响近14个不同行业/部门,其中企业站点为受攻击的重灾区,占全部被植入暗链网站总数的95.93%,企业站点安全水平能力较低,总体数量多,非常容易受到黑客攻击,植入暗链也难于被察觉,因此可长期有效。
其他非企业站点植入暗链情况分布如下:
图2-2 非企业行业被植入暗链网站行业占比图
2.2. 影响我国政府、事业等行业
根据安恒数据大脑分析,统计数据中被植入暗链的政府机关网站有215个,事业单位有827个。通过对我国这两类重要单位的行政等级进行分析,发现有明显的行政级别区分,如下图所示:
图2-3 事业单位被植入暗链网站省市县分布图
图2-4 政府单位被植入暗链网站省市县分布图
通过上图,可以很明显看出基本都是县市区的网站被植入暗链较多,占比过半,主要原因是,县市区的小网站更新频率低,往往几个月不会更新一次,甚至没人维护,而且事业单位或者政府网站通常比较稳定,较少出现没几天就消失不见的情况。
地方县市区的业务系统通常由当地小公司开发和运维,忽视安全问题,导致系统存在大量安全漏洞,容易被植入暗链。
2.3. 暗链网站被黑客重复利用,隐患重重
我们通过将暗链地址与威胁情报数据关联分析后,发现大量的暗链地址同时也是C2、钓鱼地址、放马地址、扫描主机、漏洞利用等被恶意利用地址。
图2-5 暗链地址与威胁情报关联结果部分截图
虽然暗链对网站本身没有什么实质性威胁,但是暗链的存在往往标志着该网站存在安全漏洞,所以带有暗链的网站往往更容易被反复入侵,重复利用。
3. 暗链的隐蔽性日趋多样化
3.1. 传统暗链形式较为单一
传统的暗链形式非常单一,暗链的实现原理很简单,如采用CSS样式设置以达到暗链不可见的目的,把黑链的display元素设置为none、把黑链的标签显示颜色调为和网页页面颜色一致、把黑链浮动或者定位在网页不可浏览到的位置等。
传统的黑客实施暗链的手法大同小异,此时暗链的“暗”在于它是隐藏在网页源代码中的,通过肉眼直接在页面上看不见的,但只要打开源码就可以看到链接内容。
3.2. 新型暗链植入与推广方式多样化
随着暗链的发展,搜索引擎也开始对传统暗链方法进行识别和打击,为了不被搜索引擎识别,各种花样植入方式也纷纷兴起:
1、搜索引擎识别:黑客通过在页面中加入搜索引擎判断,使得一般用户无法发现暗链。脚本能够识别是搜索引擎来访问网站还是用户来访问网站,当搜索引擎来访问网站的时候,就会跳转到暗链页面,当用户访问的时候又会跳转到另外一个页面。
图3-1 正常用户访问返回界面
图3-2 搜索引擎访问返回界面
2、对植入的暗链内容进行编码,这类不多见,可以让站长看源码时也不一定能快速发现;
图3-3 暗链页面
3、暗链内容随机呈现,可同时推广更多的暗链,也可不被快速察觉。
图3-3 随机暗链页面
其他的如寄生虫模板批量植入、关键词堆砌、桥页等形式,不难发现暗链的植入与推广方式也正在推陈出新,为了暗链能够长期潜伏与提高排名,不断地与站长,与搜索引擎进行“斗智斗勇”。
4. 暗链黑色产业发展成熟
4.1. 暗链产业多环节分工合作
暗链产业链有很多环节,或者说分上中下游,其中的每一个环节都有其利润所在,每个环节都有不同的分工和不同的利益分配。
“黑链产业链”里的上游可能是一些非法网站的拥有者,这些网站有很强的勾引性,出售的服务或者产品都是正常市场不被许可的,大多都是非法的或者禁止销售的产品,例如博彩色情等。
位于产业链中游是销赃平台,其中的“销售”人员,在网上做广告招揽“客户”。下图为某个网上黑链套餐标价:
图4-1某个网上黑链套餐标价
产业链的下游主要是执行产业部门,利用网站后门、网站权限等植入暗链,并对其进行维护;
图4-2 暗链黑产链上中下游分布
在这条产业链中,分工明确:有专人负责攻击各类型网站,有人负责收购各类网站的权限,有人负责每天检查暗链是否被删除,有人负责联系客户,有客户购买服务,甚至有人负责编写自动化挂暗链的程序并出售。主要工作流程如下:
- 寻找网站漏洞,破解密码,侵入网站并植入“后门”或花钱购买黑客工具和网站“权限”并控制;
- 网上做广告招揽“客户”;
- 收取客户费用,登录网站“后门”,向被控制网站添加“黑链”代码并维护;
- 搜索灰色关键词,“客户”的排名靠前。
4.2. 非法暴利行业推动黑链产业发展
本次统计了植入暗链的内容,从被植入的暗链关键字词云可以看出,暗链指向的网站绝大多数是博彩、色情、游戏私服、代孕、虚假医疗甚至开房记录查询等灰色暴利产业,这些产业不太可能以正式方式获得流量。首先,搜索引擎会降级这些网站;其次,广告网络不敢接受这种广告的放置。因此,许多网站将通过暗链方式以获得地下流量。这些黑灰产业背后就蕴藏着巨大的经济利益,推动了暗链产业链的形成和发展,而暗链又称为了黑色产业传播的重要媒介。
图4-3 被植入的暗链关键字统计词云
下图为某网站被植入博彩暗链详情:
图4-4 被植入的博彩暗链网站示例
2017年曾报道合肥非法控制计算机信息系统案,3人黑客团伙控制四百网站挂灰色广告业务“黑链”,仅仅3个月牟利10万元。这仅是小团体犯案,成型的黑链产业获利更是无法估量。
4.3. 不同暗链黑产组织间存在利益冲突
挂暗链所使用的网站来源有两种:一种是黑客自己动手,攻击网站挂暗链;还有一种是收购其他黑客的权限。有时一个网站同时被多路黑客盯上,在页面中可以看到多组暗链链接,甚至代码中存在“删我链接,我删整站”、“各挂各的,和平共赢”等字样,警告其他黑客不要删除自己的链接,由此可以看出不同“暗链”集团间也存在利益冲突。如下图所示:
图4-5 黑产暗链之间的竞争
4.4. 网站用户的忽视或默许纵容发展
如今,网站暗链事件虽然比比皆是,但对于大部分网站来说,暗链和普通超链接没有太大的不同,只是这些超链接在网页页面上是“不可见”的,且暗链并没有对用户构成实质性的威胁,安全软件自然也不会对暗链进行检测,更不会对暗链作出拦截或提示,所以,部分网站负责人会忽视暗链的存在,甚至形成暗链与网站“长期共存”的现状。
5. 加强对暗链的清理与彻底整治
5.1. 需要充分意识暗链存在巨大的潜在威胁
从本次分析的网站情况来看,暗链网站不但是已经被黑客入侵,页面被植入非法链接,也会由于网站的安全问题引发被黑客重复入侵,甚至被用于挂马、C2通信等,成为黑产牟利工具,占用计算资源与网络带宽,影响网站业务开展。
5.2. 暗链清理需要彻底整治
部分的安全运维人员在发现暗链后,直接一删了事,但是大部分网站已被植入后门,如未清理,则会被反复挂链利用。正确的方式是进行全盘检查,找到最新的可疑文件,或者采用终端安全检测工具,查找后门文件进行删除清理。最后还需要对网站的漏洞进行整改修复,进行安全防护,防止被再次入侵。
5.3. 暗链的安全监管需进一步提升
对于行业主管单位或者网络安全监管部门,建议加强对暗链的检测与监管,像整治可见的安全事件如网页篡改的力度一样,从上至下加强安全重视与整改,才能扭转目前国内暗链肆意横行的现状,切断黑灰产的传播推广渠道,清朗网络空间。