針對一夥WordPress犯罪團伙的深度技術分析
本文闡述了如何對一個黑產團伙追根溯源。據Wordfence監控數據顯示,這個被稱為JerseyShore的團伙的主要攻擊目標為金融和假冒體育服裝類網站。通過本文你將會看到,我們是如何一步步讓幕後真兇浮出水面,最終編織出一張有組織的犯罪團伙網路。
背景介紹
通過我們的數據分析監測平台可以看到,每個月針對WordPress的暴力攻擊次數,都是非常可觀的。僅上個月Wordfence就平均每天需要阻斷,高達2500萬次的暴力攻擊行為。你可以查閱我們一月份發布的,關於針對WordPress的攻擊活動報告。
就在本月(2月份),一個IP為
91.200.12.103
的用戶,引起了我們的注意。Wordfence自2月21日到2月28日期間,共阻止了超過22,000個網站的170萬次攻擊。因此,我們決定對這個可疑的IP進行更深入的分析調查。不出所料,通過我們的追蹤溯源,一個大型的攻擊平台漸漸的浮出了水面,同時我們也摸清了他們的攻擊戰術,技術和程序(TTP),以及背後的真正策劃者。分析IP和主機
通過分析我們發現,91.200.12.103 這個IP地址,為之前我們寫過的,一個代號為「PP SKS-LUGAN」(PSL)的暴力攻擊組織所擁有。早在去年12月份的暴力攻擊峰值期,我們就發現大多數的攻擊源就來自於該組織(PSL)。
下圖顯示了去年12月份,在一天當中的有關PSL組織排名前幾位的IP地址以及攻擊次數:
大量針對PSL的投訴,並沒能改變和減少PSL IP地址的攻擊行為。
為了更加全面的了解情況,我們對
91.200.12.103
這個地址,進行了深入的研究分析:
通過對伺服器埠的探測,我們初步判定該伺服器為Windows主機。同時我們還發現,它似乎還與一個域名為heilink的網站有關。通過archive.org歷史存檔網站我們發現,這個網站此前被用於一個遊戲裝備的出售平台,同時這個人也可能是該IP的最早所有者。
根據我們觀察到的,來自PSL的netblock的攻擊數量,我們認為他們是一個「防彈託管提供商」。換句話說,他們正在為從事明顯惡意活動的個人或組織,提供託管服務。因此,PSL不會對客戶投訴作出任何的回應,並且也不會阻止客戶繼續使用其服務從事非法活動!
通過91.200.12.103我們還能獲取到什麼信息?
參與我們Wordfence網路安全計劃的一位客戶站點,遭到了
91.200.12.103
的污染攻擊。我們抓取了部分樣品的截圖,其中包含以下內容:
從上圖可以看到,垃圾郵件中包含許多營銷運動服裝的域名。因此,我們可以得知,這個IP除了暴力攻擊外,同時還對目標網站實施污染攻擊。
假冒運動服裝網站
為了了解Wordfence防火牆,阻止包含這些域的其他污染攻擊,我們使用了上面垃圾郵件中所發現的域名列表。結果發現有一系列的IP地址段,參與到了污染攻擊活動中,並發現其推廣的網站列表,都為假冒運動服裝銷售網站。
下表顯示了我們遇到的屬於此廣告系列一部分的網站列表。在正在積極上市的24個網站中,其中19個(或80%)仍然在運行,並且由於商標侵權而未被刪除。 (詳見下文)
Website | Status | Purpose |
|---|---|---|
| www.wholesalejerseysgaa.com | up | SEO |
| www.wholesalejerseys-cheapest.com | up | Sales |
| www.wholesalejerseychinashop.com | up | Sales |
| www.wholesalejerseychinaoutlet.com | up | Sales |
| www.jerseywholesalechinabiz.com | up | Sales |
| www.jerseyschinabizwholesale.us | up | Sales |
| www.jerseysbizwholesalecheap.com | up | Sales |
| www.wholesalecheapjerseysfree.com | up | Sales |
| www.cheapjerseysbizwholesale.us | up | Sales |
| www.cheapjerseysap.com | up | Sales |
| www.cheapjerseyssa.com | Down | DNS Error |
| www.bizcheapjerseyswholesalechina.com | up | Sales |
| www.cheapestjerseys-wholesale.com | up | Sales |
| www.cheapjerseysfootballshop.com | up | Sales |
| www.cheapjerseysa.com | up | Sales |
| www.chinacheapelitejerseys.com | up | SEO |
| www.chinajerseyswholesalecoupons.com | up | Sales |
| www.jerseychinabizwholesale.us | up | Sales |
| www.jerseyswholesalechinalimited.com | up | Sales |
| www.jerseywholesaleelitestore.com | up | Sales |
| www.nfljerseyscheapchinabiz.com | Down | Takedown Notice |
| www.chinaelitecheapjerseys.com | Down | Takedown Notice |
| www.jerseywholesalebizchina.com | Down | Takedown Notice |
| www.nfljerseysforsalewholesaler.com | Down | Takedown Notice |
| www.nfljerseyscheapbiz.us | Down | DNS Error |
| www.jerseychinabizwholesale.com | Down | Takedown Notice |
我們對這些網站進行了分析,並將91.200.12.103和垃圾郵件網路中的其它網站建立了連接關係。如下圖:
上圖,我們列舉了其中6個IP地址作為參考。展示了他們正在使用的攻擊和垃圾郵件傳送方式,以及IP之間行為的相似性。從圖片中,我們還可以清晰的看到,每個IP所對應的域名,以及各個IP之間的相互關係。
從上圖中可以看出,
91.200.12.103
正在進行高頻的暴力攻擊。其中一個域名為bizcheapjerseyswholesalechina.com
的網站,與垃圾郵件網路中的另外兩個IP地址建立了連接。這些連接的IP當中,其中一個正在使用與網路中另外兩個IP,相同類型的垃圾評論。或者在戰術上,它們使用相同的TTP(即戰術,技術和程序)。此外,我們通過TTP連接的IP之一,也是垃圾郵件的Ajax聊天插件,列表中的另一個IP地址也在做。
通過以上的基本分析,我們發現只有5個IP地址與91.200.12.103相關。我們確信,垃圾郵件網路中的其它IP地址,可以以相同的方式連接到91.200.12.103。
一長串訴訟
許多參與垃圾郵件活動的網站,已遭到了一家代表NFL,MLB,NHL和NBA的律師事務所起訴關閉。在被關閉刪除的網站主頁,我們會看到如下的圖片通知:
申請該禁令,一般先由律師事務所提出訴訟。然後經由法院批准,並最終實施臨時禁止令(TRO)。根據上圖顯示,該禁令的生效時間為2016年12月8日。
然後律師會在一個禮拜後,提出初步禁令。一個月後,律師會提出一個默認的判決協議。
一般這些網站的所有者,都不會出庭為自己辯護。因此,法院往往會以網站無人看管為由,並最終將網站的控制權交給商標所有者。一旦商標所有者控制了網站,他們便會將網站程序刪除,並將以上的圖片通知放置網站主頁。
網站支付
我們發現這些銷售假冒運動服裝的網站,偏好通過西聯匯款或MoneyGram收款。 其中一個網站的支付頁面如下:
在任何情況下,我們發現付款接收人都位於中國。在我們分析的網站範圍內,我們找到了以下收件人:
Yanxing Chen
ChunYu Lin
HuangMin Lai
YouZhong Zeng
LingKun Gong
Xin Cai
YuanLe Duan
正如你在上面截圖中看到的那樣,西聯匯款和MoneyGram均有不同的付款和收款人。為了說明這些個體的相關性,我們通過樹狀圖的方式,將他們的關係網建立了連接。如下:
如上圖所示,每個人都是通過支付網站連接到其他人的 。不難看出,收款人應該是該利益鏈條中地位較低的人。很顯然,這是一個分工明確,有組織的犯罪團伙。
總結
以上我們向大家展示了,犯罪團伙利用垃圾郵件來宣傳他們的虛假銷售網站的案例。除了垃圾郵件,他們還通過託管在知名「防彈託管提供商」的網站,來對WordPress網站進行暴力攻擊。
美國的律師事務所正在進行一項持續的運動,根據商標侵權訴訟,TROs和違約判決,取締這些假冒的服裝零售商。商標侵權人與代表商標所有人的律師事務所之間,正掀起一場沒有硝煙的鬥爭。
總之,通過這個簡單的分析案例,可以讓我們更好的了解,那些針對WordPress站點的暴力攻擊者的背後動機。從以上案例可以得知,該團伙的動機是金融以及利用受害者WordPress網站銷售假冒運動服裝。
*參考來源 :wordfence,FB小編 secist 編譯,轉載請註明來自FreeBuf(FreeBuf.COM)
※【FB TV】一周「BUF大事件」:中情局數千份機密文檔泄露;Apache Struts2 曝任意代碼執行漏洞
※端點安全CrowdStrike與評測機構NSS Labs之間的互撕,究竟錯在誰?
※直播閱讀神器SqlMap源碼(第一集)
※如何用0day漏洞黑掉西部數據NAS存儲設備
※首席信息安全官是怎樣煉成的:FreeBuf專訪聯想CISO Richard Rushing
TAG:FreeBuf |
※設計神器Affinity Designer要秒殺PS?與PS、AI深度對比測評竟然是這結果!
※Shoo-Career深度解析美國求職面試中的Case Interview
※私人定製——使用深度學習Keras和TensorFlow打造一款音樂推薦系統
※資深演算法工程師眼中的深度學習:Ian Goodfellow 和Yoshua Bengio的「Deep Learning」讀書分享
※Samsung Pay漏洞深度剖析
※HyperX Alloy FPS Pro機械鍵盤深度體驗
※Collector Guide | 深度對話影像上海總監Georgia Griffiths,攝影收藏二三事
※ACL 第一天:Tutorial鍾愛深度學習,唯一一個workshop關注女性群體
※把體重全部交給它 Nike Air Zoom Vomero 12深度評測
※英偉達Volta架構:為深度學習而生的Tensor Core
※kindle都要顫抖的閱讀器:iReader Light 悅享版 深度評測
※MESA/Boogie Stowaway&Highwire buffer單塊深度對比解析
※Visual Studio Code 現支持深度學習/AI 應用程序
※從Facebook AI Research開源fastText談文本分類:詞向量模性、深度表徵等
※Intel+Cloudera,用BigDL玩轉深度學習
※「Ian Goodfellow 五問」GAN、深度學習,如何與谷歌競爭
※MIT提出mNeuron:一個可視化深度模型神經元的Matlab插件
※深度對話影像上海總監Georgia Griffiths,攝影收藏二三事
※aws ec2的iam role深度解析