近日,安恒信息中央研究院零壹实验室发现黑灰产团伙抢注了以“西安环卫网”为缩写的域名xahww.com并在里面夹带了色情信息,利用链接跳转为色情app”小黄书”进行推广引流。黑灰产抢注这些域名,一方面是用来窃取原网站和链接了原网站的网站的流量,另外一方面部分被抢注的域名可能还处于有效的备案状态,多被用来绕过各种安全检查机制。
由于其域名的欺骗性,给大众造成了“政府网站管理不力”的误解。除此之外,引用了抢注域名的网站会被陷入“”向非法网站引流的被黑状态”,变成传播违法信息的帮凶,所以各网站应该要加强自身网站的外链安全检查。
1
事件概述
2023年2月3日,网上盛传西安环卫网涉黄,网站中包含众多日本成人影片信息,一时间网上众说纷纭,有说是网站遭到黑客入侵,也有的说是网站交给外包公司,照抄了黄色网站模板,忘记删除原有的色情信息导致的。
安恒信息中央研究院零壹实验室第一时间针对该事件进行调查,捋出了详细的时间线(如下图,具体研究过程及证据链在第三节展示),并确定该事件是由黑灰产抢注域名并假借政府网站的名号为色情app引流导致的,对政府的形象造成了极大地伤害。本文将深度解析事件脉络以及什么是抢注、为什么要抢注、抢注后如何为黑灰产引流等等。
展开全文
2
事件背后的黑灰产引流产业链
经过零壹实验室的研究,本事件涉及域名抢注、黑灰产流量站点搭建,这一切都是为了黑灰产引流服务的。所谓域名抢注,即一个被注册过的域名,如果未能够在有效期结束前及时续费,则会在一段时间后被删除或者拍卖,而这期间该域名就有可能被黑灰产抢先一步注册。黑灰产为什么要抢注域名呢,我们推测有以下原因:
1
域名名称有较高价值,用于勒索原有域名的使用者或欺骗正常用户。如xahww.com是“西安环卫网”的拼音缩写,这样的域名搭配上logo很容易让人误以为这就是官方网站;
2
抢注域名可以获得其原有流量,用于欺骗搜索引擎爬虫。可以将互联网里的每个网站想象成一块块种着庄稼的田地,爬虫、用户的访问流量就是浇灌田地的水,种植农作物的良田(网站内容合法、优质、易读)容易得到爬虫的垂青,因此十分肥沃;而新建的/种植毒品的田地(指代包含违法信息的黑灰产网站)不会直接得到很多的水源,因此十分贫瘠。而抢注域名后,黑灰产会通过一定手段将正常网站里面的水引向自己的违法田地。在经过大量的引流后,黑灰产的违法田地也会同样枝繁叶茂。
3
事件复盘
1
抢注溯源
从whois记录来看,xahww.com域名注册于2013年2月4日,并在2022年2月4号注册到期后进入30天的续费宽限期,及29天的高价赎回期后进入等待删除。
在xahww.com域名可以被抢注后于2022年4月8日被灰黑产抢注。
根据谷歌爬虫的快照记录,可以发现该网站于2022年11月10日出现了色情内容。
2
黑灰产引流分析
经研究黑灰产是通过链接跳转+终端判断来达到的引流。url为。
尝试访问了一下,发现访问失败。
但网页篡改的经验让我抱着试一试的态度,在源码中继续搜索了一下发现了奇怪的js——。打开后发现了异常。
该代码会判断访问者平台,若为手机或者linux系统会加载另一个js——。
用手机打开上述url,发现端倪,会跳转至。
4
总结
黑灰产利用抢注的域名作为违法信息的传播媒介,可以毫不费力地将链接到抢注域名的网站都引向自己的非法页面,使得政府、事业单位等重点单位的网站在不知情的情况下呈现一种被黑客攻陷的状态,因此关注网站的外链安全十分有必要。
其中较为轰动的是发生在2017年的“人民教育出版社教材挂赌博链接”事件。事件的起因是普通高中课程标准实验教科书《生物必修3:稳态与环境》的第14页有一个“网站登录”栏目,中包含链接(域名。
精彩推荐
匿名者泄露了俄罗斯 128GB 数据,揭露了FSB 的秘密
2023.02.09
全球勒索软件黑客攻击已将数千台计算机服务器作为目标
2023.02.08
警惕!在多个电动汽车充电系统中发现新安全漏洞
2022 .02.07
特别声明
本文仅代表作者观点,不代表本站立场,本站仅提供信息存储服务。