.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
自2023年8月底以來,研究人員觀察到專門用於標題黨和廣告內容的受攻擊服務器顯著增加。但為什麼這樣的網站對攻擊者來說如此有吸引力呢?主要因為這些網站的設計是為了接觸到大量潛在的受害者。此外,標題黨網站經常使用過時或未修復的軟件,這使得它們很容易受到攻擊。
本文足以讓你了解標題黨文章的危險性。文中討論了標題黨網站如何增加流量以獲得廣告收入,研究人員回顧了一種基於其網絡流量特徵,來檢測易受攻擊標題黨網站的策略。最後,本文還闡述了基於CVE-2023-3169漏洞的標題黨網站數量激增的趨勢分析。
標題黨網站和廣告流量標題黨旨在讓讀者點擊一個可疑的網絡內容鏈接。專門從事標題黨內容的網站存在的唯一目的是產生廣告收入,因此,標題黨網站的網頁包含大量攻擊性廣告。
點擊誘餌需要大量的瀏覽量來產生廣告收入,所以這些網站通常使用以下三種策略來增加流量。
常青的話題;
內容髮現平台;
生成人工智能(AI)工具;
常青的話題增加流量的一個策略是關注常青話題。常青話題指的是與特定時間或地點無關的話題,人們一直覺得它們很有趣。例如,金融和衛生被認為是常青的話題。圖1和圖2顯示了來自標題黨網站的兩個示例頁面:
金融主題標題黨文章的例子
健康主題標題黨文章的例子
內容髮現平台由於標題黨內容本身是通過廣告傳播的,許多標題黨網站還依靠第二種策略來增加流量:內容髮現平台。
新聞機構和其他內容提供商使用內容髮現平台來創收,標題黨提供商經常使用這些服務來為他們自己的內容增加流量。
內容髮現平台經常使用技術來偽裝廣告。其中一種方法被稱為原生廣告,此方法將廣告內容配置為與其所在網站的外觀相似,瀏覽者很難區分網站的原創內容和廣告內容。下圖顯示了出現在新聞網站上的原生廣告示例:
原生廣告出現在新聞網站的例子
在上圖中,研究人員添加了一個紅色箭頭,指向hxxps://gofindyou[.]com/health/what-causes-plaque-psoriasis-heres-what-doctors-need-you-to-know的標題黨內容,快速檢查發現這個網站至少運行了一個過時的軟件。來自網頁的HTML代碼表明它使用了用於Yoast SEO的WordPress插件,如下圖所示:
一個標題黨頁面顯示Yoast SEO插件v20.8的HTML代碼
顯示Yoast SEO插件20.8版本的HTML最初發佈於2023年5月23日。上圖所示的網頁是在2023年10月27日提供的,當時Yoast SEO插件的最新版本是21.4,這個插件已經過時。
研究人員經常發現帶有過時軟件或插件的標題黨網站。這種特殊情況不意味著存在任何特定的漏洞,但過時的軟件可能比完全打過補丁的版本更容易受到攻擊。
生成人工智能工具標題黨作者的最新策略是使用Jasper和AIPRM等生成式人工智能工具,這些工具提供了一種簡單的方法來生成seo優化的內容,以增加網站流量。
攻擊者經常濫用、利用或破壞合法產品以達到惡意目的,但這並不一定意味著濫用合法產品的缺陷或質量問題。
一個示例是在hxxps://delhiproduct[.]info/top-24-earn-money-with-paid-online-surveys 上用ChatGPT寫的一篇文章,在本例中,該網站是一個運行MonsterInsights插件(版本8.1.0)的過時版本的WordPress網站,如下圖所示:
delhipproductinfo[.]com的HTML顯示了過時的MonsterInsights插件
截至2023年10月3日,MonsterInsights插件的最新版本是8.20.1,這意味著8.1.0版本至少已經過時兩年了。該插件的8.1.0版本也容易受到存儲跨站攻擊。
查找易受攻擊的網站要攻擊任何網站,攻擊者必須知道該網站的web服務器使用的web堆棧。這些數據包括操作系統、web內容管理軟件(CMS)以及任何相關的插件和主題。
攻擊者使用web堆棧數據來確定服務器是否運行任何過時的軟件或應用程序,有了這些信息,攻擊者可以很容易地找到公開的漏洞和利用來破壞網站。
研究人員如何確定服務器的web堆棧?研究人員可以通過網站的URL模式、HTML內容和功能來發現這些信息,網頁的外觀和感覺也可以提供線索。
接下來介紹一些指標,這些指標可以顯示網站的部分web堆棧。
/wp-content/或/wp-includes/:URL或網頁的HTML代碼中的任何一個字符串都表示關聯的網站可能使用WordPress。
wp-content/themes/Newspaper/style.css?ver=11.4.1 :在網頁的HTML代碼中,此字符串表示網站使用tagDiv的WordPress報紙主題,報紙版本為11.4.1。
!-- This site uses the Google Analytics by MonsterInsights plugin v8.1.0 - Using Analytics tracking - https://www.monsterinsights[.]com/--:網頁HTML代碼中的這條評論表明該網站使用了WordPress的MonsterInsights插件。插件信息的註釋在大多數情況下都是準確的。
在確認利用CVE-2023-3169時,前兩種技術可能會有所幫助。
利用CVE-2023-31692023年9月11日,MITRE發布了CVE-2023-3169,該漏洞在與WordPress的Composer插件一起使用時會影響tagDiv的Newspaper和Newsmag主題,已經有數千個WordPress網站因該漏洞而被攻擊。
Unit 42團隊成員監控Palo Alto Networks的遙測惡意活動,這些數據包括網頁中HTML代碼的指示符及其關聯的URL。根據這些數據,我們通過存在惡意腳本和其他指標來確認一個受攻擊的網站。
之前的研究表明,利用CVE-2023-3169後,通過Balada注入器攻擊了數千個易受攻擊的網站。根據這項研究,受此攻擊的網站從以下位置生成加載惡意內容的頁面:
hxxps://stay[.]decentralappps[.]com/src/page.js
研究人員的數據證實了這一發現,分析發現與CVE-2023-3169相關的受攻擊WordPress網站在2023年8月底開始激增。
在兩個月的時間裡,研究人員發現了大約10300個被攻擊的WordPress網站。下面圖表說明了研究人員檢測到的這個峰值。
研究人員通過CVE-2023-3169竊取的WordPress網站數據
如下圖所示,這些受攻擊的網站中有很大一部分是標題黨或廣告網站。調查發現,標題黨和廣告佔檢測30%以上,在這30%的網站中,至少80%的網站使用了tagDiv的Newspaper主題,另外6%的網站使用了tagDiv的Newsmag主題。
注入腳本示例下圖顯示了2023年10月初的一個示例,其中一個受攻擊網站將惡意腳本注入到網頁中,注入的腳本以黃色突出顯示。
在WordPress網站的網頁上註入腳本的示例
這個混淆的腳本使用表示ASCII字符的十進制值,將這些數字轉換為ASCII文本會顯示惡意腳本,如下圖所示:
從上圖中突出顯示的文本解碼的惡意腳本
上圖中解碼的腳本包含相同的hxxps://stay[.] decentralapps [.]com/src/page.js URL,在之前的報告中提到了使用Balada注入器利用CVE-2023-3169的活動。
標題黨和廣告網站的趨勢研究人員使用Cortex Xpanse和其他工具跟踪分析了漏洞趨勢。除了CVE-2023-3169之外,研究人員還跟踪受其他漏洞影響的網站。
在2023年9月15日至22日的樣本分析中,研究人員監控了1600個隨機選擇的WordPress網站的數據集,有用戶試圖訪問受攻擊的網站。
結果顯示,與其他類別相比,流量黨和廣告網站的受害比例接近三比一。下圖顯示了研究人員每週檢測的平均值:
檢測受攻擊WordPress網站
無論是來自CVE-2023-3169還是其他漏洞,與其他類別相比,受攻擊的標題黨和廣告網站的數量都始終更高。
總結當研究人員通過分析被攻擊網站的指標時,通過與其他類別相比,研究人員依舊看到大量被攻擊的標題黨和廣告網站。
這些網站通常使用過時或未修復的軟件,有可能觸及大量受害者,使其成為攻擊者的誘人目標。因此,標題黨文章本身就存在風險,讀者應該意識到這種風險,並相應地調整他們的瀏覽習慣。