近年來,越來越多的惡意攻擊者盯上了各大社交媒體。這些社交平臺(tái)由于使用便捷、可擴(kuò)展性強(qiáng)、自動(dòng)化程度高,受眾面廣泛等特性,為攻擊者發(fā)起僵尸網(wǎng)絡(luò)攻擊提供了得天獨(dú)厚的條件。
這里的僵尸網(wǎng)絡(luò)指的是由中央控制臺(tái)控制的社交平臺(tái)賬戶集合。這些賬戶均由機(jī)器控制,而非真實(shí)人類所有。這些機(jī)器賬戶能夠形成僵尸網(wǎng)絡(luò),發(fā)送惡意鏈接,例如釣魚廣告、惡意軟件、勒索軟件、欺詐調(diào)查、垃圾郵件、對(duì)受害者賬戶進(jìn)行劫持控制的惡意應(yīng)用程序以及點(diǎn)擊即收費(fèi)的垃圾郵件網(wǎng)站等等。
自今年2月起,ZeroFOX威脅研究團(tuán)隊(duì)調(diào)查了一個(gè)Twitter上名為SIREN的大型垃圾郵件色情僵尸網(wǎng)絡(luò)。該僵尸網(wǎng)絡(luò)名為SIREN(起源于希臘神話中用美妙歌聲讓水手迷失方向的海妖塞壬),約包含9萬多個(gè)偽造的推特賬號(hào),共計(jì)發(fā)布了850萬條含有惡意鏈接的推文,在數(shù)周內(nèi)誘使網(wǎng)友進(jìn)行了3000萬次惡意點(diǎn)擊。
本文將ZeroFOX威脅研究團(tuán)隊(duì)發(fā)現(xiàn)的SIREN僵尸網(wǎng)絡(luò)與Brian Krebs最近在KrebsOnSecurity披露的大型垃圾郵件僵尸網(wǎng)絡(luò)聯(lián)系在一起。兩者使用的策略相似,即將受害者引誘到同一網(wǎng)絡(luò)下的色情網(wǎng)站。
SIREN僵尸網(wǎng)絡(luò)是社交平臺(tái)歷史上規(guī)模最大的惡意活動(dòng)之一。曾經(jīng)發(fā)現(xiàn)過的達(dá)到這個(gè)數(shù)量的僵尸網(wǎng)絡(luò)一般不帶惡意攻擊性,例如大量生成“星球大戰(zhàn)”報(bào)價(jià)。但是,這次的SIREN卻明顯違反了Twitter的“服務(wù)條款”。
主要發(fā)現(xiàn)
1. SIREN是一個(gè)龐大的Twitter僵尸網(wǎng)絡(luò),比社交平臺(tái)上的其它大型僵尸網(wǎng)絡(luò)危害程度都要高;近9萬個(gè)獨(dú)立賬戶,發(fā)布推文達(dá)850萬條。
2. SIREN波及范圍廣,點(diǎn)擊量已達(dá)到3000萬次。之所以能夠獲得這個(gè)數(shù)據(jù)是因?yàn)樵摻┦W(wǎng)絡(luò)使用的是可追蹤的谷歌短網(wǎng)址。
3. SIREN說明了對(duì)社交網(wǎng)絡(luò)進(jìn)行規(guī)?;幊痰谋匾浴?/p>
4. 發(fā)起SIREN僵尸網(wǎng)絡(luò)的攻擊者可能來自東歐。
5. 虛假的交友約會(huì)網(wǎng)站和色情網(wǎng)站市場(chǎng)龐大,為SIREN這樣的spammer制造了大量機(jī)會(huì)。ZeroFOX與KrebsOnSecurity合作調(diào)查了色情垃圾網(wǎng)站和其營銷網(wǎng)絡(luò)的源頭。由ZeroFOX發(fā)現(xiàn)的Twitter僵尸網(wǎng)絡(luò)和Krebs研究的郵件僵尸網(wǎng)絡(luò)兩者的最終目標(biāo)相同,并且指向同一網(wǎng)絡(luò)中的色情網(wǎng)站鏈接。
6. ZeroFOX分別向Twitter和Google的安全團(tuán)隊(duì)報(bào)告了這一重大發(fā)現(xiàn),他們迅速刪除了違規(guī)的帳戶和鏈接,全面搗毀SIREN僵尸網(wǎng)絡(luò)。
關(guān)于SIREN
SIREN僵尸網(wǎng)絡(luò)利用由算法生成的Twitter帳戶所形成的龐大網(wǎng)絡(luò)來發(fā)布一個(gè)有效的URL,該URL會(huì)將網(wǎng)頁重定向至很多色情網(wǎng)站。近9萬賬戶都使用誘人的女性圖片做頭像,以及一個(gè)女性名字作為賬戶名(如下圖)。這些機(jī)器人賬戶會(huì)通過直接轉(zhuǎn)發(fā)受害者推文等方式來引誘他們落入圈套。
SIREN僵尸賬戶示例(個(gè)人資料中就加上了惡意鏈接)
這些賬戶發(fā)布的推文往往用不標(biāo)準(zhǔn)的英語描述色情信息,誘使目標(biāo)對(duì)象點(diǎn)擊鏈接,比如“你想見我嗎?”或者“來吧,不要害羞”。
98.2%僵尸賬戶的推文結(jié)構(gòu)都有相似性:
1. 一個(gè)性暗示的短句(第一部分)
2. 一個(gè)感嘆號(hào)
3. 引誘用戶點(diǎn)擊URL的社會(huì)工程學(xué)短句(第二部分)
4. 谷歌短網(wǎng)址
第一個(gè)詞有26種選擇,但第二個(gè)詞只有8種。具體短語的發(fā)布時(shí)間也存在一定規(guī)律,短時(shí)間內(nèi)不同層級(jí)的短語發(fā)布頻率相似(如下圖)。
第一部分和第二部分的內(nèi)容重復(fù)率很高。圖3紅框標(biāo)注了推特內(nèi)容的4大組成部分。一天內(nèi)記錄的10大發(fā)布頻率最高的短句可以歸類為3層,每層短句出現(xiàn)頻率非常接近。
目標(biāo)網(wǎng)址偽裝
一旦目標(biāo)對(duì)象點(diǎn)擊鏈接,該用戶就會(huì)碰到一系列的重定向,具體過程如下:
1. 用戶點(diǎn)擊推文上的鏈接
2. 這些鏈接會(huì)轉(zhuǎn)到Twitter的t.co服務(wù)中
3. t.co重定向至goo.gl——Google的短網(wǎng)址(見下圖)
4. goo.gl再重定向至“rotator(旋轉(zhuǎn)器)”網(wǎng)站。該旋轉(zhuǎn)器從goo.gl重定向中獲取連接,并通過簡單的用戶代理檢查對(duì)用戶再次進(jìn)行重定向。如果請(qǐng)求來自Python的請(qǐng)求庫或cURL這樣的自動(dòng)化程序,則將連接重定向到Twitter或Google
5. 一旦旋轉(zhuǎn)器將用戶視為“合法”,它將通過另一個(gè)重定向發(fā)送到最終的目的URL
這些重定向有多種用途:
1. 混淆這些鏈接的最終目的地,避免反垃圾郵件服務(wù),如Twitter的鏈接和谷歌短網(wǎng)址。
2. 偽裝目標(biāo)鏈接,并利用用戶對(duì)Google和Twitter域名的信任,誘使目標(biāo)用戶點(diǎn)擊鏈接。
3. 創(chuàng)建重定向的基礎(chǔ)結(jié)構(gòu),如果其中一個(gè)鏈接被刪除,則快速添加另一個(gè)鏈接繼續(xù)操作。
對(duì)某個(gè)谷歌短網(wǎng)址的點(diǎn)擊量統(tǒng)計(jì)
在所有374208個(gè)谷歌短網(wǎng)址中,出現(xiàn)頻率最高的是t.co
SIREN的最終目的及與垃圾郵件僵尸網(wǎng)絡(luò)的關(guān)系
這些短網(wǎng)址經(jīng)過多次重定向后連接到的最終網(wǎng)站(色情、攝像頭拍攝、虛假約會(huì)交友網(wǎng)站等)都會(huì)誘使用戶進(jìn)行注冊(cè)和消息訂閱。盡管這些網(wǎng)站是合法的,但存在欺騙性。很多網(wǎng)站的政策都聲稱會(huì)對(duì)用戶個(gè)人信息絕對(duì)保密。但實(shí)際上,將注冊(cè)用戶個(gè)人信息發(fā)給其它合作友商的行為也是司空見慣,給受害者帶來更多的垃圾信息。
2017年6月,Brian Krebs發(fā)現(xiàn)了一個(gè)大型的垃圾郵件攻擊活動(dòng),推廣一個(gè)鏈接到Deniro Marketing的色情網(wǎng)站和交友網(wǎng)站。這個(gè)垃圾郵件活動(dòng)具有一系列的僵尸網(wǎng)絡(luò)面板,主要通過電子郵件進(jìn)行操作。Deniro Marketing在2010年曾被起訴過,但目前看來似乎還在其ASN上托管網(wǎng)站,并開展聯(lián)合推廣計(jì)劃。SIREN僵尸網(wǎng)絡(luò)同樣將一些流量引入到與Deniro Marketing相關(guān)的網(wǎng)站。Krebs將其初步發(fā)現(xiàn)發(fā)表在KrebsOnSecurity.com上,并表示希望得到有關(guān)電子郵件僵尸網(wǎng)絡(luò)或Deniro Marketing的研究支持。
與SIREN相關(guān)的5個(gè)最終域名中的有2個(gè)托管在Deniro Marketing的ASN上:Cheatingcougars.com(https://whois.domaintools.com/cheatingcougars.com)和milfshookup.com(https://whois.domaintools.com) /milfshookup.com)。 Bgpview.io顯示,該ASN注冊(cè)于2010年注冊(cè)https://bgpview.io/asn/19884,聯(lián)系人來自網(wǎng)站datinggold.com。Dating Gold也是一個(gè)大型約會(huì)交友網(wǎng)站。
大部分“僵尸”賬戶都偽裝成帶有全裸或半裸照片的女性身份。這類目標(biāo)受害者大大提高了Dating Gold網(wǎng)站的男性注冊(cè)數(shù)量,合作營銷方也就能從中獲利了。其中很多網(wǎng)站還需要用戶提供電子郵件地址和電話號(hào)碼才能訪問會(huì)員門戶。dattinggold.com上列出的物理地址與Deniro Marketing在BGPview上的地址列表相吻合,而且兩個(gè)處理付款業(yè)務(wù)的合作網(wǎng)站mntbill.com和ctpymnt.com(圖4)也是相匹配的。
CTpymt和MntBill支付處理器的地址與Deniro Marketing相同
這波僵尸網(wǎng)絡(luò)的罪魁禍?zhǔn)资钦l?
我們統(tǒng)計(jì)發(fā)現(xiàn),這些“僵尸”Twitter賬戶的大部分自我聲明使用的語言都是俄語(詳見下圖)。這一點(diǎn)的確值得注意,有12.5%的“僵尸”賬戶所顯示的賬戶名稱都包含與普通俄語相對(duì)應(yīng)的西里爾字母表的字母。蹩腳的英語、西里爾文以及龐大的基礎(chǔ)結(jié)構(gòu)均表明SIREN發(fā)起方技術(shù)高超,并且來自于歐洲東部地區(qū)的可能性很大。該地區(qū)已經(jīng)發(fā)現(xiàn)類似SIREN垃圾郵件基礎(chǔ)設(shè)施的運(yùn)行蹤跡。
僵尸賬戶發(fā)布消息默認(rèn)語言的餅圖統(tǒng)計(jì):
en=英語(默認(rèn))、ru=俄語、es=西班牙語、en-gb=英式英語、tr=土耳其語、fr=法語、de=德語
僵尸網(wǎng)絡(luò)的搗毀
截至7月10日,ZeroFOX向Twitter安全小組報(bào)告了所有的僵尸賬戶資料與推文,隨后Twitter方面將其刪除。Twitter響應(yīng)速度如此之快是因?yàn)樵搻阂饨┦W(wǎng)絡(luò)明顯違反了其服務(wù)條款。ZeroFOX還向谷歌安全團(tuán)隊(duì)匯報(bào)了所有的goo.gl短網(wǎng)址,谷歌方面立即刪除了所有相關(guān)短網(wǎng)址,并將完整域名添加至其黑名單。另外ZeroFOX也正在積極地發(fā)送數(shù)據(jù)遏制用戶的僵尸網(wǎng)絡(luò)垃圾郵件。
最佳實(shí)踐與SIREN的影響
由于這種僵尸網(wǎng)絡(luò)的多樣性,用戶和組織應(yīng)該了解SIREN下面這些TTP模式(TTP即Tactic、Technique和Procedure,包括攻擊者的行為、利用的資源和目標(biāo)受害者的信息等,主要通過標(biāo)準(zhǔn)語言來多細(xì)節(jié)地描述攻擊者的行為):
1. Twitter僵尸賬戶中的線程回復(fù)含有惡意網(wǎng)站鏈接,劫持用戶會(huì)話。
2. 在鏈接到最終URL前通過谷歌短網(wǎng)址服務(wù)于旋轉(zhuǎn)器進(jìn)行多次重定向。
3. 即插即用式的基礎(chǔ)結(jié)構(gòu)——如果其中一個(gè)域名或網(wǎng)站遭到攔截,另一個(gè)網(wǎng)站或域名能夠立即候補(bǔ),繼續(xù)完成重定向的過程。
4. 頻繁使用免費(fèi)注冊(cè)的TLD平臺(tái)(谷歌的開源TLD注冊(cè)平臺(tái)),如.tk和.pw
5. 很多域名托管在ASN19884
該僵尸網(wǎng)絡(luò)對(duì)用戶及其他利益相關(guān)方帶來的影響可以總結(jié)為以下幾種形式:
1. 受害者的財(cái)產(chǎn)損失。FBI把此類詐騙歸類為“romance scams(情感詐騙)”,他們表示曾有某個(gè)詐騙活動(dòng)對(duì)受害者帶來了高達(dá)10萬美元的經(jīng)濟(jì)損失。
2. 對(duì)受害者造成隱私安全問題。惡意網(wǎng)站在網(wǎng)絡(luò)內(nèi)外共享憑證。
3. 品牌聲譽(yù)受損。發(fā)布推文是SIREN的重要傳播手段,因此保護(hù)社交平臺(tái)上的個(gè)人資料、頁面等遠(yuǎn)離這些垃圾網(wǎng)站,有助于減少客戶接觸這些鏈接的幾率,達(dá)到品牌聲譽(yù)維護(hù)的目的。
4. 盡管ZeroFOX沒有觀察到明顯的網(wǎng)絡(luò)釣魚或惡意軟件活動(dòng),但由于SIREN采用即插即用體系結(jié)構(gòu),很容易實(shí)現(xiàn)對(duì)使用漏洞組件網(wǎng)站的惡意轉(zhuǎn)換和重定向。
免責(zé)聲明:
本文所涉及欺詐活動(dòng)已報(bào)告給相關(guān)平臺(tái),并作出了及時(shí)處理。本報(bào)告數(shù)據(jù)均為相關(guān)社交平臺(tái)API所收集的公開數(shù)據(jù),不包含機(jī)密信息。
*參考來源:zerofox,F(xiàn)B小編Carrie編譯,轉(zhuǎn)載請(qǐng)注明來自FreeBuf(FreeBuf.COM)