信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“嘶吼專業(yè)版”，作者/lucywang。

自2023年8月底以來(lái)，研究人員觀察到專門用于標(biāo)題黨和廣告內(nèi)容的受攻擊服務(wù)器顯著增加。但為什么這樣的網(wǎng)站對(duì)攻擊者來(lái)說(shuō)如此有吸引力呢？主要因?yàn)檫@些網(wǎng)站的設(shè)計(jì)是為了接觸到大量潛在的受害者。此外，標(biāo)題黨網(wǎng)站經(jīng)常使用過(guò)時(shí)或未修復(fù)的軟件，這使得它們很容易受到攻擊。

本文足以讓你了解標(biāo)題黨文章的危險(xiǎn)性。文中討論了標(biāo)題黨網(wǎng)站如何增加流量以獲得廣告收入，研究人員回顧了一種基于其網(wǎng)絡(luò)流量特征，來(lái)檢測(cè)易受攻擊標(biāo)題黨網(wǎng)站的策略。最后，本文還闡述了基于CVE-2023-3169漏洞的標(biāo)題黨網(wǎng)站數(shù)量激增的趨勢(shì)分析。

標(biāo)題黨網(wǎng)站和廣告流量

標(biāo)題黨旨在讓讀者點(diǎn)擊一個(gè)可疑的網(wǎng)絡(luò)內(nèi)容鏈接。專門從事標(biāo)題黨內(nèi)容的網(wǎng)站存在的唯一目的是產(chǎn)生廣告收入，因此，標(biāo)題黨網(wǎng)站的網(wǎng)頁(yè)包含大量攻擊性廣告。

點(diǎn)擊誘餌需要大量的瀏覽量來(lái)產(chǎn)生廣告收入，所以這些網(wǎng)站通常使用以下三種策略來(lái)增加流量。

常青的話題；

內(nèi)容發(fā)現(xiàn)平臺(tái)；

生成人工智能(AI)工具；

常青的話題

增加流量的一個(gè)策略是關(guān)注常青話題。常青話題指的是與特定時(shí)間或地點(diǎn)無(wú)關(guān)的話題，人們一直覺(jué)得它們很有趣。例如，金融和衛(wèi)生被認(rèn)為是常青的話題。圖1和圖2顯示了來(lái)自標(biāo)題黨網(wǎng)站的兩個(gè)示例頁(yè)面：

金融主題標(biāo)題黨文章的例子

健康主題標(biāo)題黨文章的例子

內(nèi)容發(fā)現(xiàn)平臺(tái)

由于標(biāo)題黨內(nèi)容本身是通過(guò)廣告?zhèn)鞑サ模S多標(biāo)題黨網(wǎng)站還依靠第二種策略來(lái)增加流量：內(nèi)容發(fā)現(xiàn)平臺(tái)。

新聞機(jī)構(gòu)和其他內(nèi)容提供商使用內(nèi)容發(fā)現(xiàn)平臺(tái)來(lái)創(chuàng)收，標(biāo)題黨提供商經(jīng)常使用這些服務(wù)來(lái)為他們自己的內(nèi)容增加流量。

內(nèi)容發(fā)現(xiàn)平臺(tái)經(jīng)常使用技術(shù)來(lái)偽裝廣告。其中一種方法被稱為原生廣告，此方法將廣告內(nèi)容配置為與其所在網(wǎng)站的外觀相似，瀏覽者很難區(qū)分網(wǎng)站的原創(chuàng)內(nèi)容和廣告內(nèi)容。下圖顯示了出現(xiàn)在新聞網(wǎng)站上的原生廣告示例：

原生廣告出現(xiàn)在新聞網(wǎng)站的例子

在上圖中，研究人員添加了一個(gè)紅色箭頭，指向hxxps://gofindyou[.]com/health/what-causes-plaque-psoriasis-heres-what-doctors-need-you-to-know的標(biāo)題黨內(nèi)容，快速檢查發(fā)現(xiàn)這個(gè)網(wǎng)站至少運(yùn)行了一個(gè)過(guò)時(shí)的軟件。來(lái)自網(wǎng)頁(yè)的HTML代碼表明它使用了用于Yoast SEO的WordPress插件，如下圖所示：

一個(gè)標(biāo)題黨頁(yè)面顯示Yoast SEO插件v20.8的HTML代碼

顯示Yoast SEO插件20.8版本的HTML最初發(fā)布于2023年5月23日。上圖所示的網(wǎng)頁(yè)是在2023年10月27日提供的，當(dāng)時(shí)Yoast SEO插件的最新版本是21.4，這個(gè)插件已經(jīng)過(guò)時(shí)。

研究人員經(jīng)常發(fā)現(xiàn)帶有過(guò)時(shí)軟件或插件的標(biāo)題黨網(wǎng)站。這種特殊情況不意味著存在任何特定的漏洞，但過(guò)時(shí)的軟件可能比完全打過(guò)補(bǔ)丁的版本更容易受到攻擊。

生成人工智能工具

標(biāo)題黨作者的最新策略是使用Jasper和AIPRM等生成式人工智能工具，這些工具提供了一種簡(jiǎn)單的方法來(lái)生成seo優(yōu)化的內(nèi)容，以增加網(wǎng)站流量。

攻擊者經(jīng)常濫用、利用或破壞合法產(chǎn)品以達(dá)到惡意目的，但這并不一定意味著濫用合法產(chǎn)品的缺陷或質(zhì)量問(wèn)題。

一個(gè)示例是在hxxps://delhiproduct[.]info/top-24-earn-money-with-paid-online-surveys上用ChatGPT寫(xiě)的一篇文章，在本例中，該網(wǎng)站是一個(gè)運(yùn)行MonsterInsights插件（版本8.1.0）的過(guò)時(shí)版本的WordPress網(wǎng)站，如下圖所示：

delhipproductinfo[.]com的HTML顯示了過(guò)時(shí)的MonsterInsights插件

截至2023年10月3日，MonsterInsights插件的最新版本是8.20.1，這意味著8.1.0版本至少已經(jīng)過(guò)時(shí)兩年了。該插件的8.1.0版本也容易受到存儲(chǔ)跨站攻擊。

查找易受攻擊的網(wǎng)站

要攻擊任何網(wǎng)站，攻擊者必須知道該網(wǎng)站的web服務(wù)器使用的web堆棧。這些數(shù)據(jù)包括操作系統(tǒng)、web內(nèi)容管理軟件(CMS)以及任何相關(guān)的插件和主題。

攻擊者使用web堆棧數(shù)據(jù)來(lái)確定服務(wù)器是否運(yùn)行任何過(guò)時(shí)的軟件或應(yīng)用程序，有了這些信息，攻擊者可以很容易地找到公開(kāi)的漏洞和利用來(lái)破壞網(wǎng)站。

研究人員如何確定服務(wù)器的web堆棧？研究人員可以通過(guò)網(wǎng)站的URL模式、HTML內(nèi)容和功能來(lái)發(fā)現(xiàn)這些信息，網(wǎng)頁(yè)的外觀和感覺(jué)也可以提供線索。

接下來(lái)介紹一些指標(biāo)，這些指標(biāo)可以顯示網(wǎng)站的部分web堆棧。

/wp-content/或/wp-includes/：URL或網(wǎng)頁(yè)的HTML代碼中的任何一個(gè)字符串都表示關(guān)聯(lián)的網(wǎng)站可能使用WordPress。

wp-content/themes/Newspaper/style.css?ver=11.4.1：在網(wǎng)頁(yè)的HTML代碼中，此字符串表示網(wǎng)站使用tagDiv的WordPress報(bào)紙主題，報(bào)紙版本為11.4.1。

!--This site uses the Google Analytics by MonsterInsights plugin v8.1.0-Using Analytics tracking-https://www.monsterinsights[.]com/--：網(wǎng)頁(yè)HTML代碼中的這條評(píng)論表明該網(wǎng)站使用了WordPress的MonsterInsights插件。插件信息的注釋在大多數(shù)情況下都是準(zhǔn)確的。

在確認(rèn)利用CVE-2023-3169時(shí)，前兩種技術(shù)可能會(huì)有所幫助。

利用CVE-2023-3169

2023年9月11日，MITRE發(fā)布了CVE-2023-3169，該漏洞在與WordPress的Composer插件一起使用時(shí)會(huì)影響tagDiv的Newspaper和Newsmag主題，已經(jīng)有數(shù)千個(gè)WordPress網(wǎng)站因該漏洞而被攻擊。

Unit 42團(tuán)隊(duì)成員監(jiān)控Palo Alto Networks的遙測(cè)惡意活動(dòng)，這些數(shù)據(jù)包括網(wǎng)頁(yè)中HTML代碼的指示符及其關(guān)聯(lián)的URL。根據(jù)這些數(shù)據(jù)，我們通過(guò)存在惡意腳本和其他指標(biāo)來(lái)確認(rèn)一個(gè)受攻擊的網(wǎng)站。

之前的研究表明，利用CVE-2023-3169后，通過(guò)Balada注入器攻擊了數(shù)千個(gè)易受攻擊的網(wǎng)站。根據(jù)這項(xiàng)研究，受此攻擊的網(wǎng)站從以下位置生成加載惡意內(nèi)容的頁(yè)面：

hxxps://stay[.]decentralappps[.]com/src/page.js

研究人員的數(shù)據(jù)證實(shí)了這一發(fā)現(xiàn)，分析發(fā)現(xiàn)與CVE-2023-3169相關(guān)的受攻擊WordPress網(wǎng)站在2023年8月底開(kāi)始激增。

在兩個(gè)月的時(shí)間里，研究人員發(fā)現(xiàn)了大約10300個(gè)被攻擊的WordPress網(wǎng)站。下面圖表說(shuō)明了研究人員檢測(cè)到的這個(gè)峰值。

研究人員通過(guò)CVE-2023-3169竊取的WordPress網(wǎng)站數(shù)據(jù)

如下圖所示，這些受攻擊的網(wǎng)站中有很大一部分是標(biāo)題黨或廣告網(wǎng)站。調(diào)查發(fā)現(xiàn)，標(biāo)題黨和廣告占檢測(cè)30%以上，在這30%的網(wǎng)站中，至少80%的網(wǎng)站使用了tagDiv的Newspaper主題，另外6%的網(wǎng)站使用了tagDiv的Newsmag主題。

注入腳本示例

下圖顯示了2023年10月初的一個(gè)示例，其中一個(gè)受攻擊網(wǎng)站將惡意腳本注入到網(wǎng)頁(yè)中，注入的腳本以黃色突出顯示。

在WordPress網(wǎng)站的網(wǎng)頁(yè)上注入腳本的示例

這個(gè)混淆的腳本使用表示ASCII字符的十進(jìn)制值，將這些數(shù)字轉(zhuǎn)換為ASCII文本會(huì)顯示惡意腳本，如下圖所示：

從上圖中突出顯示的文本解碼的惡意腳本

上圖中解碼的腳本包含相同的hxxps://stay[.]decentralapps[.]com/src/page.js URL，在之前的報(bào)告中提到了使用Balada注入器利用CVE-2023-3169的活動(dòng)。

標(biāo)題黨和廣告網(wǎng)站的趨勢(shì)

研究人員使用Cortex Xpanse和其他工具跟蹤分析了漏洞趨勢(shì)。除了CVE-2023-3169之外，研究人員還跟蹤受其他漏洞影響的網(wǎng)站。

在2023年9月15日至22日的樣本分析中，研究人員監(jiān)控了1600個(gè)隨機(jī)選擇的WordPress網(wǎng)站的數(shù)據(jù)集，有用戶試圖訪問(wèn)受攻擊的網(wǎng)站。

結(jié)果顯示，與其他類別相比，流量黨和廣告網(wǎng)站的受害比例接近三比一。下圖顯示了研究人員每周檢測(cè)的平均值：

檢測(cè)受攻擊WordPress網(wǎng)站

無(wú)論是來(lái)自CVE-2023-3169還是其他漏洞，與其他類別相比，受攻擊的標(biāo)題黨和廣告網(wǎng)站的數(shù)量都始終更高。

總結(jié)

當(dāng)研究人員通過(guò)分析被攻擊網(wǎng)站的指標(biāo)時(shí)，通過(guò)與其他類別相比，研究人員依舊看到大量被攻擊的標(biāo)題黨和廣告網(wǎng)站。

這些網(wǎng)站通常使用過(guò)時(shí)或未修復(fù)的軟件，有可能觸及大量受害者，使其成為攻擊者的誘人目標(biāo)。因此，標(biāo)題黨文章本身就存在風(fēng)險(xiǎn)，讀者應(yīng)該意識(shí)到這種風(fēng)險(xiǎn)，并相應(yīng)地調(diào)整他們的瀏覽習(xí)慣。