近两个月内,绿盟科技应急相应团队陆续吸收到来自银监会对各大银行机构的网络安全通报,通报指出CNCERT监测创造互联网存在大批量的疑似钓鱼网站,哀求被通报单位进行合理处理,完善自身安全防护方法,担保企业机构的互联网信誉和形象。
通过对多个疑似钓鱼网站检讨剖析,创造该发难宜为同一起黑帽SEO事宜。黑客的网站通过解析二级域名来获取二级域名所对应网站的内容,并将其展示到黑客网站上,同时在页面上添加了大量第三方链接用于提高访问量。

攻击者所利用的手腕不必借助任何攻击手段来修改网站源码添加推广链接,只须要搭建一台公网可访问Web做事即可,攻击办法大略,危害程度较高,请干系企业关注。

恶意影响剖析
表面上看似钓鱼事宜,实则是一起借助黑帽SEO手段为网站刷流量的行为,针对此类黑帽SEO事宜,绿盟科技从攻击者的角度进行了剖析,总结了这次事宜的剖析过程:
攻击者将目标网站的网址写入二级域名,并完备复制目标站点页面用于制造钓鱼网站,同时在网站中嵌入多个第三方域名超链接来提高这些域名在SEO中的PR值(用于搜索引擎排名),即通过刷流量的方法提高网站在搜索引擎中的排名。
结合黑客的攻击手腕,这次攻击事宜可能带来以下负面影响:
1、银监会对干系机构进行通报。
2、企业形象和信誉受到影响。
3、影响搜索引擎的查询结果。
安全防护建议
结合针对这次事宜的剖析(详情可参考[事宜剖析]),绿盟科技建议网站自身可通过添加域名验证的方法来防止该类问题的发生,详细操作可参考下面的步骤:
在站点页面引入jquery框架,读取网站当前域名是否为合法域名,如果不是,就跳转到正常域名,并给与用户相应的提示。参考代码如下:
运行效果如下图所示:
事宜剖析
在对监测创造的73个疑似的钓鱼网站进行检讨,共创造了56个恶意域名(可参考附录安全指标章节),这些域名均采取相同的办法实现对银行的网站复制并嵌入推广链接,在不到一个月的韶光内银监会创造并通报了多家银行机构,下图因此alsmr.cn恶意域名为例,复制了绿盟科技官网页面并进行展示,同时嵌入了多个推广链接。
例如:当访问www-nsfocus-net.alsmr.cn链接时,黑客做事器会根据二级域名www-nsfocus-net将绿盟科技的页面展示出来:
显示的页面中还被嵌入了其他网站链接,如上图红框所示,部分源码截图如下:
对网络到的73个网址进行ping测试,创造每个域名所对应的IP都不同,预测攻击者通过多个IP捆绑域名的办法,往返避IP封堵。
通过搭建DNSLog平台(一款监控 DNS 解析记录和 HTTP 访问记录的工具)对网络到的73个钓鱼URL进行测试,创造访问这些网站均会向IP 45.34.43.154发送要求,Referer字段中还添加了http://www.baidu.com,从而欺骗监控设备认为该要求来自于百度搜索。由于百度搜索后的URL链接每每带有很多搜索参数,而这里的Referer不包含任何参数,因此可以判断出该字段属于人为假造。
针对IP 45.34.43.154进行查询,创造是位于洛杉矶的境外IP。
结合绿盟威胁情报平台(NTI)对一些域名进行抽样查询,创造该注册人同时注册了大量类似的域名,由此可以预测攻击者实际发起的攻击可能比所监控到的范围更广。
声明本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告供应任何担保或承诺。
由于传播、利用此安全公告所供应的信息而造成的任何直接或者间接的后果及丢失,均由利用者本人卖力,绿盟科技以及安全公告作者不为此承担当何任务。
绿盟科技拥有对此安全公告的修正和解释权。
如欲转载或传播此安全公告,必须担保此安全公告的完全性,包括版权声明等全部内容。未经绿盟科技许可,不得任意修正或者增减此安全公告内容,不得以任何办法将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技株式会社(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教诲、医疗等行业用户,供应具有核心竞争力的安全产品及办理方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网根本安全、合规及安全管理等领域,为客户供应入侵检测/防护、抗谢绝做事攻击、远程安全评估以及Web安全防护等产品以及专业安全做事。
北京神州绿盟信息安全科技株式会社于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。







