近年來,越來越多的惡意攻擊者盯上了各大社交媒體。這些社交平臺由於使用便捷、可擴充套件性強、自動化程度高,受眾面廣泛等特性,為攻擊者發起殭屍網路攻擊提供了得天獨厚的條件。
這裡的殭屍網路指的是由中央控制檯控制的社交平臺賬戶集合。這些賬戶均由機器控制,而非真實人類所有。這些機器賬戶能夠形成殭屍網路,傳送惡意連結,例如釣魚廣告、惡意軟體、勒索軟體、欺詐調查、垃圾郵件、對受害者賬戶進行劫持控制的惡意應用程式以及點選即收費的垃圾郵件網站等等。
本文將ZeroFOX威脅研究團隊發現的SIREN殭屍網路與Brian Krebs最近在KrebsOnSecurity披露的大型垃圾郵件殭屍網路聯絡在一起。兩者使用的策略相似,即將受害者引誘到同一網路下的色情網站。
SIREN殭屍網路是社交平臺歷史上規模最大的惡意活動之一。曾經發現過的達到這個數量的殭屍網路一般不帶惡意攻擊性,例如大量生成“星球大戰”報價。但是,這次的SIREN卻明顯違反了Twitter的“服務條款”。
主要發現
1. SIREN是一個龐大的Twitter殭屍網路,比社交平臺上的其它大型殭屍網路危害程度都要高;近9萬個獨立賬戶,釋出推文達850萬條。
2. SIREN波及範圍廣,點選量已達到3000萬次。之所以能夠獲得這個資料是因為該殭屍網路使用的是可追蹤的谷歌短網址。
3. SIREN說明了對社交網路進行規模化程式設計的必要性。
4. 發起SIREN殭屍網路的攻擊者可能來自東歐。
5. 虛假的交友約會網站和色情網站市場龐大,為SIREN這樣的spammer製造了大量機會。ZeroFOX與KrebsOnSecurity合作調查了色情垃圾網站和其營銷網路的源頭。由ZeroFOX發現的Twitter殭屍網路和Krebs研究的郵件殭屍網路兩者的最終目標相同,並且指向同一網路中的色情網站連結。
6. ZeroFOX分別向Twitter和Google的安全團隊報告了這一重大發現,他們迅速刪除了違規的帳戶和連結,全面搗毀SIREN殭屍網路。
關於SIREN
SIREN殭屍網路利用由演算法生成的Twitter帳戶所形成的龐大網路來釋出一個有效的URL,該URL會將網頁重定向至很多色情網站。近9萬賬戶都使用誘人的女性圖片做頭像,以及一個女性名字作為賬戶名(如下圖)。這些機器人賬戶會通過直接轉發受害者推文等方式來引誘他們落入圈套。
SIREN殭屍賬戶示例(個人資料中就加上了惡意連結)
98.2%殭屍賬戶的推文結構都有相似性:
1. 一個性暗示的短句(第一部分)
2. 一個感嘆號
3. 引誘使用者點選URL的社會工程學短句(第二部分)
4. 谷歌短網址
第一個詞有26種選擇,但第二個詞只有8種。具體短語的釋出時間也存在一定規律,短時間內不同層級的短語釋出頻率相似(如下圖)。
第一部分和第二部分的內容重複率很高。圖3紅框標註了推特內容的4大組成部分。一天內記錄的10大發布頻率最高的短句可以歸類為3層,每層短句出現頻率非常接近。
目標網址偽裝
1. 使用者點選推文上的連結
2. 這些連結會轉到Twitter的t.co服務中
3. t.co重定向至goo.gl——Google的短網址(見下圖)
4. goo.gl再重定向至“rotator(旋轉器)”網站。該旋轉器從goo.gl重定向中獲取連線,並通過簡單的使用者代理檢查對使用者再次進行重定向。如果請求來自Python的請求庫或cURL這樣的自動化程式,則將連線重定向到Twitter或Google
5. 一旦旋轉器將使用者視為“合法”,它將通過另一個重定向傳送到最終的目的URL
這些重定向有多種用途:
1. 混淆這些連結的最終目的地,避免反垃圾郵件服務,如Twitter的連結和谷歌短網址。
3. 建立重定向的基礎結構,如果其中一個連結被刪除,則快速新增另一個連結繼續操作。
對某個谷歌短網址的點選量統計在所有374208個谷歌短網址中,出現頻率最高的是t.co
SIREN的最終目的及與垃圾郵件殭屍網路的關係
這些短網址經過多次重定向後連線到的最終網站(色情、攝像頭拍攝、虛假約會交友網站等)都會誘使使用者進行註冊和訊息訂閱。儘管這些網站是合法的,但存在欺騙性。很多網站的政策都聲稱會對使用者個人資訊絕對保密。但實際上,將註冊使用者個人資訊發給其它合作友商的行為也是司空見慣,給受害者帶來更多的垃圾資訊。
2017年6月,Brian Krebs發現了一個大型的垃圾郵件攻擊活動,推廣一個連結到Deniro Marketing的色情網站和交友網站。這個垃圾郵件活動具有一系列的殭屍網路皮膚,主要通過電子郵件進行操作。Deniro Marketing在2010年曾被起訴過,但目前看來似乎還在其ASN上託管網站,並開展聯合推廣計劃。SIREN殭屍網路同樣將一些流量引入到與Deniro Marketing相關的網站。Krebs將其初步發現發表在KrebsOnSecurity.com上,並表示希望得到有關電子郵件殭屍網路或Deniro Marketing的研究支援。
與SIREN相關的5個最終域名中的有2個託管在Deniro Marketing的ASN上:Cheatingcougars.com(https://whois.domaintools.com/cheatingcougars.com)和milfshookup.com(https://whois.domaintools.com) /milfshookup.com)。 Bgpview.io顯示,該ASN註冊於2010年註冊https://bgpview.io/asn/19884,聯絡人來自網站datinggold.com。Dating Gold也是一個大型約會交友網站。
大部分“殭屍”賬戶都偽裝成帶有全裸或半裸照片的女性身份。這類目標受害者大大提高了Dating Gold網站的男性註冊數量,合作營銷方也就能從中獲利了。其中很多網站還需要使用者提供電子郵件地址和電話號碼才能訪問會員門戶。dattinggold.com上列出的實體地址與Deniro Marketing在BGPview上的地址列表相吻合,而且兩個處理付款業務的合作網站mntbill.com和ctpymnt.com(圖4)也是相匹配的。
CTpymt和MntBill支付處理器的地址與Deniro Marketing相同
這波殭屍網路的罪魁禍首是誰?
我們統計發現,這些“殭屍”Twitter賬戶的大部分自我宣告使用的語言都是俄語(詳見下圖)。這一點的確值得注意,有12.5%的“殭屍”賬戶所顯示的賬戶名稱都包含與普通俄語相對應的西裡爾字母表的字母。蹩腳的英語、西里爾文以及龐大的基礎結構均表明SIREN發起方技術高超,並且來自於歐洲東部地區的可能性很大。該地區已經發現類似SIREN垃圾郵件基礎設施的執行蹤跡。
殭屍賬戶釋出訊息預設語言的餅圖統計:en=英語(預設)、ru=俄語、es=西班牙語、en-gb=英式英語、tr=土耳其語、fr=法語、de=德語
殭屍網路的搗毀
截至7月10日,ZeroFOX向Twitter安全小組報告了所有的殭屍賬戶資料與推文,隨後Twitter方面將其刪除。Twitter響應速度如此之快是因為該惡意殭屍網路明顯違反了其服務條款。ZeroFOX還向谷歌安全團隊彙報了所有的goo.gl短網址,谷歌方面立即刪除了所有相關短網址,並將完整域名新增至其黑名單。另外ZeroFOX也正在積極地傳送資料遏制使用者的殭屍網路垃圾郵件。
最佳實踐與SIREN的影響
由於這種殭屍網路的多樣性,使用者和組織應該瞭解SIREN下面這些TTP模式(TTP即Tactic、Technique和Procedure,包括攻擊者的行為、利用的資源和目標受害者的資訊等,主要通過標準語言來多細節地描述攻擊者的行為):
1. Twitter殭屍賬戶中的執行緒回覆含有惡意網站連結,劫持使用者會話。
2. 在連結到最終URL前通過谷歌短網址服務於旋轉器進行多次重定向。
3. 即插即用式的基礎結構——如果其中一個域名或網站遭到攔截,另一個網站或域名能夠立即候補,繼續完成重定向的過程。
4. 頻繁使用免費註冊的TLD平臺(谷歌的開源TLD註冊平臺),如.tk和.pw
5. 很多域名託管在ASN19884
該殭屍網路對使用者及其他利益相關方帶來的影響可以總結為以下幾種形式:
1. 受害者的財產損失。FBI把此類詐騙歸類為“romance scams(情感詐騙)”,他們表示曾有某個詐騙活動對受害者帶來了高達10萬美元的經濟損失。
2. 對受害者造成隱私安全問題。惡意網站在網路內外共享憑證。
3. 品牌聲譽受損。釋出推文是SIREN的重要傳播手段,因此保護社交平臺上的個人資料、頁面等遠離這些垃圾網站,有助於減少客戶接觸這些連結的機率,達到品牌聲譽維護的目的。
4. 儘管ZeroFOX沒有觀察到明顯的網路釣魚或惡意軟體活動,但由於SIREN採用即插即用體系結構,很容易實現對使用漏洞元件網站的惡意轉換和重定向。
來自:FreeBuf