社交平台上的桃色陷阱:僵尸网络SIREN侵袭Twitter

近年来,越来越多的恶意攻击者盯上了各大社交媒体。这些社交平台由于使用便捷、可扩展性强、自动化程度高,受众面广泛等特性,为攻击者发起僵尸网络攻击提供了得天独厚的条件。

这里的僵尸网络指的是由中央控制台控制的社交平台账户集合。这些账户均由机器控制,而非真实人类所有。这些机器账户能够形成僵尸网络,发送恶意链接,例如钓鱼广告、恶意软件、勒索软件、欺诈调查、垃圾邮件、对受害者账户进行劫持控制的恶意应用程序以及点击即收费的垃圾邮件网站等等。

本文将ZeroFOX威胁研究团队发现的SIREN僵尸网络与Brian Krebs最近在KrebsOnSecurity披露的大型垃圾邮件僵尸网络联系在一起。两者使用的策略相似,即将受害者引诱到同一网络下的色情网站。

SIREN僵尸网络是社交平台历史上规模最大的恶意活动之一。曾经发现过的达到这个数量的僵尸网络一般不带恶意攻击性,例如大量生成“星球大战”报价。但是,这次的SIREN却明显违反了Twitter的“服务条款”。

主要发现

1. SIREN是一个庞大的Twitter僵尸网络,比社交平台上的其它大型僵尸网络危害程度都要高;近9万个独立账户,发布推文达850万条。

2. SIREN波及范围广,点击量已达到3000万次。之所以能够获得这个数据是因为该僵尸网络使用的是可追踪的谷歌短网址。

3. SIREN说明了对社交网络进行规模化编程的必要性。

4. 发起SIREN僵尸网络的攻击者可能来自东欧。

5. 虚假的交友约会网站和色情网站市场庞大,为SIREN这样的spammer制造了大量机会。ZeroFOX与KrebsOnSecurity合作调查了色情垃圾网站和其营销网络的源头。由ZeroFOX发现的Twitter僵尸网络和Krebs研究的邮件僵尸网络两者的最终目标相同,并且指向同一网络中的色情网站链接。

6. ZeroFOX分别向Twitter和Google的安全团队报告了这一重大发现,他们迅速删除了违规的帐户和链接,全面捣毁SIREN僵尸网络。

关于SIREN

SIREN僵尸网络利用由算法生成的Twitter帐户所形成的庞大网络来发布一个有效的URL,该URL会将网页重定向至很多色情网站。近9万账户都使用诱人的女性图片做头像,以及一个女性名字作为账户名(如下图)。这些机器人账户会通过直接转发受害者推文等方式来引诱他们落入圈套。

SIREN僵尸账户示例(个人资料中就加上了恶意链接)

98.2%僵尸账户的推文结构都有相似性:

1. 一个性暗示的短句(第一部分)

2. 一个感叹号

3. 引诱用户点击URL的社会工程学短句(第二部分)

4. 谷歌短网址

第一个词有26种选择,但第二个词只有8种。具体短语的发布时间也存在一定规律,短时间内不同层级的短语发布频率相似(如下图)。

第一部分和第二部分的内容重复率很高。图3红框标注了推特内容的4大组成部分。一天内记录的10大发布频率最高的短句可以归类为3层,每层短句出现频率非常接近。

目标网址伪装

1. 用户点击推文上的链接

2. 这些链接会转到Twitter的t.co服务中

3. t.co重定向至goo.gl——Google的短网址(见下图)

4. goo.gl再重定向至“rotator(旋转器)”网站。该旋转器从goo.gl重定向中获取连接,并通过简单的用户代理检查对用户再次进行重定向。如果请求来自Python的请求库或cURL这样的自动化程序,则将连接重定向到Twitter或Google

5. 一旦旋转器将用户视为“合法”,它将通过另一个重定向发送到最终的目的URL

这些重定向有多种用途:

1. 混淆这些链接的最终目的地,避免反垃圾邮件服务,如Twitter的链接和谷歌短网址。

3. 创建重定向的基础结构,如果其中一个链接被删除,则快速添加另一个链接继续操作。

对某个谷歌短网址的点击量统计在所有374208个谷歌短网址中,出现频率最高的是t.co

SIREN的最终目的及与垃圾邮件僵尸网络的关系

这些短网址经过多次重定向后连接到的最终网站(色情、摄像头拍摄、虚假约会交友网站等)都会诱使用户进行注册和消息订阅。尽管这些网站是合法的,但存在欺骗性。很多网站的政策都声称会对用户个人信息绝对保密。但实际上,将注册用户个人信息发给其它合作友商的行为也是司空见惯,给受害者带来更多的垃圾信息。

2017年6月,Brian Krebs发现了一个大型的垃圾邮件攻击活动,推广一个链接到Deniro Marketing的色情网站和交友网站。这个垃圾邮件活动具有一系列的僵尸网络面板,主要通过电子邮件进行操作。Deniro Marketing在2010年曾被起诉过,但目前看来似乎还在其ASN上托管网站,并开展联合推广计划。SIREN僵尸网络同样将一些流量引入到与Deniro Marketing相关的网站。Krebs将其初步发现发表在KrebsOnSecurity.com上,并表示希望得到有关电子邮件僵尸网络或Deniro Marketing的研究支持。

与SIREN相关的5个最终域名中的有2个托管在Deniro Marketing的ASN上:Cheatingcougars.com(https://whois.domaintools.com/cheatingcougars.com)和milfshookup.com(https://whois.domaintools.com) /milfshookup.com)。 Bgpview.io显示,该ASN注册于2010年注册https://bgpview.io/asn/19884,联系人来自网站datinggold.com。Dating Gold也是一个大型约会交友网站。

大部分“僵尸”账户都伪装成带有全裸或半裸照片的女性身份。这类目标受害者大大提高了Dating Gold网站的男性注册数量,合作营销方也就能从中获利了。其中很多网站还需要用户提供电子邮件地址和电话号码才能访问会员门户。dattinggold.com上列出的物理地址与Deniro Marketing在BGPview上的地址列表相吻合,而且两个处理付款业务的合作网站mntbill.com和ctpymnt.com(图4)也是相匹配的。

CTpymt和MntBill支付处理器的地址与Deniro Marketing相同

这波僵尸网络的罪魁祸首是谁?

我们统计发现,这些“僵尸”Twitter账户的大部分自我声明使用的语言都是俄语(详见下图)。这一点的确值得注意,有12.5%的“僵尸”账户所显示的账户名称都包含与普通俄语相对应的西里尔字母表的字母。蹩脚的英语、西里尔文以及庞大的基础结构均表明SIREN发起方技术高超,并且来自于欧洲东部地区的可能性很大。该地区已经发现类似SIREN垃圾邮件基础设施的运行踪迹。

僵尸账户发布消息默认语言的饼图统计:en=英语(默认)、ru=俄语、es=西班牙语、en-gb=英式英语、tr=土耳其语、fr=法语、de=德语

僵尸网络的捣毁

截至7月10日,ZeroFOX向Twitter安全小组报告了所有的僵尸账户资料与推文,随后Twitter方面将其删除。Twitter响应速度如此之快是因为该恶意僵尸网络明显违反了其服务条款。ZeroFOX还向谷歌安全团队汇报了所有的goo.gl短网址,谷歌方面立即删除了所有相关短网址,并将完整域名添加至其黑名单。另外ZeroFOX也正在积极地发送数据遏制用户的僵尸网络垃圾邮件。

最佳实践与SIREN的影响

由于这种僵尸网络的多样性,用户和组织应该了解SIREN下面这些TTP模式(TTP即Tactic、Technique和Procedure,包括攻击者的行为、利用的资源和目标受害者的信息等,主要通过标准语言来多细节地描述攻击者的行为):

1. Twitter僵尸账户中的线程回复含有恶意网站链接,劫持用户会话。

2. 在链接到最终URL前通过谷歌短网址服务于旋转器进行多次重定向。

3. 即插即用式的基础结构——如果其中一个域名或网站遭到拦截,另一个网站或域名能够立即候补,继续完成重定向的过程。

4. 频繁使用免费注册的TLD平台(谷歌的开源TLD注册平台),如.tk和.pw

5. 很多域名托管在ASN19884

该僵尸网络对用户及其他利益相关方带来的影响可以总结为以下几种形式:

1. 受害者的财产损失。FBI把此类诈骗归类为“romance scams(情感诈骗)”,他们表示曾有某个诈骗活动对受害者带来了高达10万美元的经济损失。

2. 对受害者造成隐私安全问题。恶意网站在网络内外共享凭证。

3. 品牌声誉受损。发布推文是SIREN的重要传播手段,因此保护社交平台上的个人资料、页面等远离这些垃圾网站,有助于减少客户接触这些链接的几率,达到品牌声誉维护的目的。

4. 尽管ZeroFOX没有观察到明显的网络钓鱼或恶意软件活动,但由于SIREN采用即插即用体系结构,很容易实现对使用漏洞组件网站的恶意转换和重定向。

来自:FreeBuf

感谢支持199IT
我们致力为中国互联网研究和咨询及IT行业数据专业人员和决策者提供一个数据共享平台。

要继续访问我们的网站,只需关闭您的广告拦截器并刷新页面。
滚动到顶部