本文阐述了如何对一个黑产团伙追根溯源。据Wordfence监控数据显示,这个被称为JerseyShore的团伙的主要攻击目标为金融和假冒体育服装类网站。通过本文你将会看到,我们是如何一步步让幕后真凶浮出水面,最终编织出一张有组织的犯罪团伙网络。
通过我们的数据分析监测平台可以看到,每个月针对WordPress的暴力攻击次数,都是非常可观的。仅上个月Wordfence就平均每天需要阻断,高达2500万次的暴力攻击行为。你可以查阅我们一月份发布的,关于针对WordPress的攻击活动报告。
就在本月(2月份),一个IP为91.200.12.103的用户,引起了我们的注意。Wordfence自2月21日到2月28日期间,共阻止了超过22,000个网站的170万次攻击。因此,我们决定对这个可疑的IP进行更深入的分析调查。不出所料,通过我们的追踪溯源,一个大型的攻击平台渐渐的浮出了水面,同时我们也摸清了他们的攻击战术,技术和程序(TTP),以及背后的真正策划者。
通过分析我们发现,91.200.12.103 这个IP地址,为之前我们写过的,一个代号为“PP SKS-LUGAN”(PSL)的暴力攻击组织所拥有。早在去年12月份的暴力攻击峰值期,我们就发现大多数的攻击源就来自于该组织(PSL)。
下图显示了去年12月份,在一天当中的有关PSL组织排名前几位的IP地址以及攻击次数:
大量针对PSL的投诉,并没能改变和减少PSL IP地址的攻击行为。
为了更加全面的了解情况,我们对91.200.12.103这个地址,进行了深入的研究分析:
通过对服务器端口的探测,我们初步判定该服务器为Windows主机。同时我们还发现,它似乎还与一个域名为heilink的网站有关。通过archive.org历史存档网站我们发现,这个网站此前被用于一个游戏装备的出售平台,同时这个人也可能是该IP的最早所有者。
根据我们观察到的,来自PSL的netblock的攻击数量,我们认为他们是一个“防弹托管提供商”。换句话说,他们正在为从事明显恶意活动的个人或组织,提供托管服务。因此,PSL不会对客户投诉作出任何的回应,并且也不会阻止客户继续使用其服务从事非法活动!
参与我们Wordfence网络安全计划的一位客户站点,遭到了91.200.12.103的污染攻击。
我们抓取了部分样品的截图,其中包含以下内容:
从上图可以看到,垃圾邮件中包含许多营销运动服装的域名。因此,我们可以得知,这个IP除了暴力攻击外,同时还对目标网站实施污染攻击。
为了了解Wordfence防火墙,阻止包含这些域的其他污染攻击,我们使用了上面垃圾邮件中所发现的域名列表。结果发现有一系列的IP地址段,参与到了污染攻击活动中,并发现其推广的网站列表,都为假冒运动服装销售网站。
下表显示了我们遇到的属于此广告系列一部分的网站列表。在正在积极上市的24个网站中,其中19个(或80%)仍然在运行,并且由于商标侵权而未被删除。 (详见下文)
Website | Status | Purpose |
---|---|---|
www.wholesalejerseysgaa.com | up | SEO |
www.wholesalejerseys-cheapest.com | up | Sales |
www.wholesalejerseychinashop.com | up | Sales |
www.wholesalejerseychinaoutlet.com | up | Sales |
www.jerseywholesalechinabiz.com | up | Sales |
www.jerseyschinabizwholesale.us | up | Sales |
www.jerseysbizwholesalecheap.com | up | Sales |
www.wholesalecheapjerseysfree.com | up | Sales |
www.cheapjerseysbizwholesale.us | up | Sales |
www.cheapjerseysap.com | up | Sales |
www.cheapjerseyssa.com | Down | DNS Error |
www.bizcheapjerseyswholesalechina.com | up | Sales |
www.cheapestjerseys-wholesale.com | up | Sales |
www.cheapjerseysfootballshop.com | up | Sales |
www.cheapjerseysa.com | up | Sales |
www.chinacheapelitejerseys.com | up | SEO |
www.chinajerseyswholesalecoupons.com | up | Sales |
www.jerseychinabizwholesale.us | up | Sales |
www.jerseyswholesalechinalimited.com | up | Sales |
www.jerseywholesaleelitestore.com | up | Sales |
www.nfljerseyscheapchinabiz.com | Down | Takedown Notice |
www.chinaelitecheapjerseys.com | Down | Takedown Notice |
www.jerseywholesalebizchina.com | Down | Takedown Notice |
www.nfljerseysforsalewholesaler.com | Down | Takedown Notice |
www.nfljerseyscheapbiz.us | Down | DNS Error |
www.jerseychinabizwholesale.com | Down | Takedown Notice |
我们对这些网站进行了分析,并将91.200.12.103和垃圾邮件网络中的其它网站建立了连接关系。如下图:
上图,我们列举了其中6个IP地址作为参考。展示了他们正在使用的攻击和垃圾邮件传送方式,以及IP之间行为的相似性。从图片中,我们还可以清晰的看到,每个IP所对应的域名,以及各个IP之间的相互关系。
从上图中可以看出,91.200.12.103正在进行高频的暴力攻击。其中一个域名为bizcheapjerseyswholesalechina.com的网站,与垃圾邮件网络中的另外两个IP地址建立了连接。
这些连接的IP当中,其中一个正在使用与网络中另外两个IP,相同类型的垃圾评论。或者在战术上,它们使用相同的TTP(即战术,技术和程序)。此外,我们通过TTP连接的IP之一,也是垃圾邮件的Ajax聊天插件,列表中的另一个IP地址也在做。
通过以上的基本分析,我们发现只有5个IP地址与91.200.12.103相关。我们确信,垃圾邮件网络中的其它IP地址,可以以相同的方式连接到91.200.12.103。
许多参与垃圾邮件活动的网站,已遭到了一家代表NFL,MLB,NHL和NBA的律师事务所起诉关闭。在被关闭删除的网站主页,我们会看到如下的图片通知:
申请该禁令,一般先由律师事务所提出诉讼。然后经由法院批准,并最终实施临时禁止令(TRO)。根据上图显示,该禁令的生效时间为2016年12月8日。
然后律师会在一个礼拜后,提出初步禁令。一个月后,律师会提出一个默认的判决协议。
一般这些网站的所有者,都不会出庭为自己辩护。因此,法院往往会以网站无人看管为由,并最终将网站的控制权交给商标所有者。一旦商标所有者控制了网站,他们便会将网站程序删除,并将以上的图片通知放置网站主页。
我们发现这些销售假冒运动服装的网站,偏好通过西联汇款或MoneyGram收款。 其中一个网站的支付页面如下:
在任何情况下,我们发现付款接收人都位于中国。在我们分析的网站范围内,我们找到了以下收件人:
正如你在上面截图中看到的那样,西联汇款和MoneyGram均有不同的付款和收款人。为了说明这些个体的相关性,我们通过树状图的方式,将他们的关系网建立了连接。如下:
如上图所示,每个人都是通过支付网站连接到其他人的 。不难看出,收款人应该是该利益链条中地位较低的人。很显然,这是一个分工明确,有组织的犯罪团伙。
以上我们向大家展示了,犯罪团伙利用垃圾邮件来宣传他们的虚假销售网站的案例。除了垃圾邮件,他们还通过托管在知名“防弹托管提供商”的网站,来对WordPress网站进行暴力攻击。
美国的律师事务所正在进行一项持续的运动,根据商标侵权诉讼,TROs和违约判决,取缔这些假冒的服装零售商。商标侵权人与代表商标所有人的律师事务所之间,正掀起一场没有硝烟的斗争。
总之,通过这个简单的分析案例,可以让我们更好的了解,那些针对WordPress站点的暴力攻击者的背后动机。从以上案例可以得知,该团伙的动机是金融以及利用受害者WordPress网站销售假冒运动服装。