针对一伙WordPress犯罪团伙的深度技术分析

本文阐述了如何对一个黑产团伙追根溯源。据Wordfence监控数据显示,这个被称为JerseyShore的团伙的主要攻击目标为金融和假冒体育服装类网站。通过本文你将会看到,我们是如何一步步让幕后真凶浮出水面,最终编织出一张有组织的犯罪团伙网络。

背景介绍

通过我们的数据分析监测平台可以看到,每个月针对WordPress的暴力攻击次数,都是非常可观的。仅上个月Wordfence就平均每天需要阻断,高达2500万次的暴力攻击行为。你可以查阅我们一月份发布的,关于针对WordPress的攻击活动报告。

就在本月(2月份),一个IP为91.200.12.103的用户,引起了我们的注意。Wordfence自2月21日到2月28日期间,共阻止了超过22,000个网站的170万次攻击。因此,我们决定对这个可疑的IP进行更深入的分析调查。不出所料,通过我们的追踪溯源,一个大型的攻击平台渐渐的浮出了水面,同时我们也摸清了他们的攻击战术,技术和程序(TTP),以及背后的真正策划者。

分析IP和主机

通过分析我们发现,91.200.12.103 这个IP地址,为之前我们写过的,一个代号为“PP SKS-LUGAN”(PSL)的暴力攻击组织所拥有。早在去年12月份的暴力攻击峰值期,我们就发现大多数的攻击源就来自于该组织(PSL)。

下图显示了去年12月份,在一天当中的有关PSL组织排名前几位的IP地址以及攻击次数:

大量针对PSL的投诉,并没能改变和减少PSL IP地址的攻击行为。

为了更加全面的了解情况,我们对91.200.12.103这个地址,进行了深入的研究分析:

通过对服务器端口的探测,我们初步判定该服务器为Windows主机。同时我们还发现,它似乎还与一个域名为heilink的网站有关。通过archive.org历史存档网站我们发现,这个网站此前被用于一个游戏装备的出售平台,同时这个人也可能是该IP的最早所有者。

根据我们观察到的,来自PSL的netblock的攻击数量,我们认为他们是一个“防弹托管提供商”。换句话说,他们正在为从事明显恶意活动的个人或组织,提供托管服务。因此,PSL不会对客户投诉作出任何的回应,并且也不会阻止客户继续使用其服务从事非法活动!

通过91.200.12.103我们还能获取到什么信息?

参与我们Wordfence网络安全计划的一位客户站点,遭到了91.200.12.103的污染攻击。

我们抓取了部分样品的截图,其中包含以下内容:

从上图可以看到,垃圾邮件中包含许多营销运动服装的域名。因此,我们可以得知,这个IP除了暴力攻击外,同时还对目标网站实施污染攻击。

假冒运动服装网站

为了了解Wordfence防火墙,阻止包含这些域的其他污染攻击,我们使用了上面垃圾邮件中所发现的域名列表。结果发现有一系列的IP地址段,参与到了污染攻击活动中,并发现其推广的网站列表,都为假冒运动服装销售网站。

下表显示了我们遇到的属于此广告系列一部分的网站列表。在正在积极上市的24个网站中,其中19个(或80%)仍然在运行,并且由于商标侵权而未被删除。 (详见下文)

Website

Status

Purpose

www.wholesalejerseysgaa.com

up

SEO

www.wholesalejerseys-cheapest.com

up

Sales

www.wholesalejerseychinashop.com

up

Sales

www.wholesalejerseychinaoutlet.com

up

Sales

www.jerseywholesalechinabiz.com

up

Sales

www.jerseyschinabizwholesale.us

up

Sales

www.jerseysbizwholesalecheap.com

up

Sales

www.wholesalecheapjerseysfree.com

up

Sales

www.cheapjerseysbizwholesale.us

up

Sales

www.cheapjerseysap.com

up

Sales

www.cheapjerseyssa.com

Down

DNS Error

www.bizcheapjerseyswholesalechina.com

up

Sales

www.cheapestjerseys-wholesale.com

up

Sales

www.cheapjerseysfootballshop.com

up

Sales

www.cheapjerseysa.com

up

Sales

www.chinacheapelitejerseys.com

up

SEO

www.chinajerseyswholesalecoupons.com

up

Sales

www.jerseychinabizwholesale.us

up

Sales

www.jerseyswholesalechinalimited.com

up

Sales

www.jerseywholesaleelitestore.com

up

Sales

www.nfljerseyscheapchinabiz.com

Down

Takedown Notice

www.chinaelitecheapjerseys.com

Down

Takedown Notice

www.jerseywholesalebizchina.com

Down

Takedown Notice

www.nfljerseysforsalewholesaler.com

Down

Takedown Notice

www.nfljerseyscheapbiz.us

Down

DNS Error

www.jerseychinabizwholesale.com

Down

Takedown Notice

我们对这些网站进行了分析,并将91.200.12.103和垃圾邮件网络中的其它网站建立了连接关系。如下图:

上图,我们列举了其中6个IP地址作为参考。展示了他们正在使用的攻击和垃圾邮件传送方式,以及IP之间行为的相似性。从图片中,我们还可以清晰的看到,每个IP所对应的域名,以及各个IP之间的相互关系。

从上图中可以看出,91.200.12.103正在进行高频的暴力攻击。其中一个域名为bizcheapjerseyswholesalechina.com的网站,与垃圾邮件网络中的另外两个IP地址建立了连接。

这些连接的IP当中,其中一个正在使用与网络中另外两个IP,相同类型的垃圾评论。或者在战术上,它们使用相同的TTP(即战术,技术和程序)。此外,我们通过TTP连接的IP之一,也是垃圾邮件的Ajax聊天插件,列表中的另一个IP地址也在做。

通过以上的基本分析,我们发现只有5个IP地址与91.200.12.103相关。我们确信,垃圾邮件网络中的其它IP地址,可以以相同的方式连接到91.200.12.103。

一长串诉讼

许多参与垃圾邮件活动的网站,已遭到了一家代表NFL,MLB,NHL和NBA的律师事务所起诉关闭。在被关闭删除的网站主页,我们会看到如下的图片通知:

申请该禁令,一般先由律师事务所提出诉讼。然后经由法院批准,并最终实施临时禁止令(TRO)。根据上图显示,该禁令的生效时间为2016年12月8日。

然后律师会在一个礼拜后,提出初步禁令。一个月后,律师会提出一个默认的判决协议。

一般这些网站的所有者,都不会出庭为自己辩护。因此,法院往往会以网站无人看管为由,并最终将网站的控制权交给商标所有者。一旦商标所有者控制了网站,他们便会将网站程序删除,并将以上的图片通知放置网站主页。

网站支付

我们发现这些销售假冒运动服装的网站,偏好通过西联汇款或MoneyGram收款。 其中一个网站的支付页面如下:

在任何情况下,我们发现付款接收人都位于中国。在我们分析的网站范围内,我们找到了以下收件人:

  • Yanxing Chen
  • ChunYu Lin
  • HuangMin Lai
  • YouZhong Zeng
  • LingKun Gong
  • Xin Cai
  • YuanLe Duan

正如你在上面截图中看到的那样,西联汇款和MoneyGram均有不同的付款和收款人。为了说明这些个体的相关性,我们通过树状图的方式,将他们的关系网建立了连接。如下:

如上图所示,每个人都是通过支付网站连接到其他人的 。不难看出,收款人应该是该利益链条中地位较低的人。很显然,这是一个分工明确,有组织的犯罪团伙。

总结

以上我们向大家展示了,犯罪团伙利用垃圾邮件来宣传他们的虚假销售网站的案例。除了垃圾邮件,他们还通过托管在知名“防弹托管提供商”的网站,来对WordPress网站进行暴力攻击。

美国的律师事务所正在进行一项持续的运动,根据商标侵权诉讼,TROs和违约判决,取缔这些假冒的服装零售商。商标侵权人与代表商标所有人的律师事务所之间,正掀起一场没有硝烟的斗争。

总之,通过这个简单的分析案例,可以让我们更好的了解,那些针对WordPress站点的暴力攻击者的背后动机。从以上案例可以得知,该团伙的动机是金融以及利用受害者WordPress网站销售假冒运动服装。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-03-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏机器人网

如何给纸质信件也加个密码?

在这个重视加密通信与安全电子邮件服务的时代,芬兰科技研究院(VTT)的研究人员们日前展示一种以密码保护的传统纸质信封,能在指定收件人取得邮件或由其他人代收邮件...

30410
来自专栏BestSDK

下“小片”的群众注意了,新型“迅雷种子”病毒已感染超2万台PC

种子是个神奇的东西。 小时候我得知,发芽的种子能掀翻最坚硬的岩石; 长大后我发现,种子能让我赢来众多网友的祝福,哪怕素未谋面。 ? 【图片来自网络】 种子是如此...

3805
来自专栏企鹅号快讯

Python入门的准备工作

Python是近几年很火的一款软件,斑点鱼在刚开始找工作时就觉得Python很有用,所以在Codecademy和慕课网两个网站,把Python的框架都学了一遍。...

2439
来自专栏程序员宝库

投票反对预装国产系统?联想辟谣;Git协议v2正式推出;英特尔、微软公布漏洞出现新变体;VS2017 15.8第一个预览版发布

继联想集团在 5G 标准投票中未投给华为之后,5 月 21 日,有媒体再次报道称,联想集团在中央某采购中心关于预装国产操作系统的投票会上投了反对票。该报道称,本...

2863
来自专栏FreeBuf

八百元八核的服务器?二手服务器搭建指南

当你在花近万元剁手i7 5960x时,有没有想过,在华强北的某个角落,有一群人靠几百块收来的二手服务器配件,搭建了一台性能同等,甚至更强的服务器! 首先,在看此...

1.9K9
来自专栏机器人网

小米无人机与市面上无人机的优缺点对比,虽无创新却是必要的

都说小米无人机就要来了,谍照也已经曝光了,那么接下来,是不是该关注一下小米无人机跟现在市面上的无人机相比有哪些优缺点,它有哪些相关专利技术了呢?今天这篇内容就和...

29511
来自专栏小文博客

0元撸斐讯路由器,谁赚谁亏?

2434
来自专栏安恒信息

直击Black Hat USA 2015(二)

  每年的BlackHat都会爆出很多令人惊叹的黑客技术,这也是BlackHat吸引整个业界关注的一大原因,今年注定也不例外。一整天的课程和展览令小安收获颇深,...

3367
来自专栏金融民工小曾

银联取消东大集成DJ-V90智能POS认证资格,因修改安全机制

近日,银联发布《关于2018年银联卡和终端产品抽检情况的通报》,通报显示,因修改安全防护机制,银联取消东大集成DJ-V90智能POS认证资格;此外,鸿博股份有限...

3431
来自专栏安恒信息

Black Hat 2017 | Day2看点:终端安全产品强势回归,勒索病毒惹的祸?

白帽子I黑帽子I乐趣 Black Hat总会给我们带来不一样的惊喜 ? BLACK HAT 不知不觉中,两天的主题演讲就这么结束了。安恒信息特派到Black...

2744

扫码关注云+社区

领取腾讯云代金券