社交平臺上的桃色陷阱：僵尸網(wǎng)絡(luò) SIREN 侵襲Twitter

時間：2023-03-14 22:52:01 | 來源：電子商務(wù)

時間：2023-03-14 22:52:01 來源：電子商務(wù)

作者：FB小編Carrie

作者主頁：Carrie_spinfo - FreeBuf.COM | 關(guān)注黑客與極客

參考來源：Inside the Massive SIREN Social Network Spam Botnet | ZeroFOX

原文鏈接：社交平臺上的桃色陷阱：僵尸網(wǎng)絡(luò)SIREN侵襲Twitter - FreeBuf.COM | 關(guān)注黑客與極客

本文非安全大事件原創(chuàng)

如需轉(zhuǎn)載，請標明來自FreeBuf（http://FreeBuf.COM）

近年來，越來越多的惡意攻擊者盯上了各大社交媒體。這些社交平臺由于使用便捷、可擴展性強、自動化程度高，受眾面廣泛等特性，為攻擊者發(fā)起僵尸網(wǎng)絡(luò)攻擊提供了得天獨厚的條件。

這里的僵尸網(wǎng)絡(luò)指的是由中央控制臺控制的社交平臺賬戶集合。這些賬戶均由機器控制，而非真實人類所有。

這些機器賬戶能夠形成僵尸網(wǎng)絡(luò)，發(fā)送惡意鏈接，例如釣魚廣告、惡意軟件、勒索軟件、欺詐調(diào)查、垃圾郵件、對受害者賬戶進行劫持控制的惡意應(yīng)用程序以及點擊即收費的垃圾郵件網(wǎng)站等等。

自今年2月起，ZeroFOX威脅研究團隊調(diào)查了一個Twitter上名為SIREN的大型垃圾郵件色情僵尸網(wǎng)絡(luò)。

該僵尸網(wǎng)絡(luò)名為SIREN(起源于希臘神話中用美妙歌聲讓水手迷失方向的海妖塞壬)，約包含9萬多個偽造的推特賬號，共計發(fā)布了850萬條含有惡意鏈接的推文，在數(shù)周內(nèi)誘使網(wǎng)友進行了3000萬次惡意點擊。

本文將ZeroFOX威脅研究團隊發(fā)現(xiàn)的SIREN僵尸網(wǎng)絡(luò)與Brian Krebs最近在KrebsOnSecurity披露的大型垃圾郵件僵尸網(wǎng)絡(luò)聯(lián)系在一起。兩者使用的策略相似，即將受害者引誘到同一網(wǎng)絡(luò)下的色情網(wǎng)站。

SIREN僵尸網(wǎng)絡(luò)是社交平臺歷史上規(guī)模最大的惡意活動之一。曾經(jīng)發(fā)現(xiàn)過的達到這個數(shù)量的僵尸網(wǎng)絡(luò)一般不帶惡意攻擊性，例如大量生成“星球大戰(zhàn)”報價。但是，這次的SIREN卻明顯違反了Twitter的“服務(wù)條款”。

主要發(fā)現(xiàn)

1. SIREN是一個龐大的Twitter僵尸網(wǎng)絡(luò)，比社交平臺上的其它大型僵尸網(wǎng)絡(luò)危害程度都要高；近9萬個獨立賬戶，發(fā)布推文達850萬條。
2. SIREN波及范圍廣，點擊量已達到3000萬次。之所以能夠獲得這個數(shù)據(jù)是因為該僵尸網(wǎng)絡(luò)使用的是可追蹤的谷歌短網(wǎng)址。
3. SIREN說明了對社交網(wǎng)絡(luò)進行規(guī)?；幊痰谋匾?。
4. 發(fā)起SIREN僵尸網(wǎng)絡(luò)的攻擊者可能來自東歐。
5. 虛假的交友約會網(wǎng)站和色情網(wǎng)站市場龐大，為SIREN這樣的spammer制造了大量機會。ZeroFOX與KrebsOnSecurity合作調(diào)查了色情垃圾網(wǎng)站和其營銷網(wǎng)絡(luò)的源頭。由ZeroFOX發(fā)現(xiàn)的Twitter僵尸網(wǎng)絡(luò)和Krebs研究的郵件僵尸網(wǎng)絡(luò)兩者的最終目標相同，并且指向同一網(wǎng)絡(luò)中的色情網(wǎng)站鏈接。
6. ZeroFOX分別向Twitter和Google的安全團隊報告了這一重大發(fā)現(xiàn)，他們迅速刪除了違規(guī)的帳戶和鏈接，全面搗毀SIREN僵尸網(wǎng)絡(luò)。

關(guān)于SIREN

SIREN僵尸網(wǎng)絡(luò)利用由算法生成的Twitter帳戶所形成的龐大網(wǎng)絡(luò)來發(fā)布一個有效的URL，該URL會將網(wǎng)頁重定向至很多色情網(wǎng)站。

近9萬賬戶都使用誘人的女性圖片做頭像，以及一個女性名字作為賬戶名（如下圖）。這些機器人賬戶會通過直接轉(zhuǎn)發(fā)受害者推文等方式來引誘他們落入圈套。

SIREN僵尸賬戶示例（個人資料中就加上了惡意鏈接）

這些賬戶發(fā)布的推文往往用不標準的英語描述色情信息，誘使目標對象點擊鏈接，比如“你想見我嗎？”或者“來吧，不要害羞”。

• 98.2%僵尸賬戶的推文結(jié)構(gòu)都有相似性：
• 一個性暗示的短句（第一部分）
• 一個感嘆號
• 引誘用戶點擊URL的社會工程學(xué)短句（第二部分）
• 谷歌短網(wǎng)址

第一個詞有26種選擇，但第二個詞只有8種。具體短語的發(fā)布時間也存在一定規(guī)律，短時間內(nèi)不同層級的短語發(fā)布頻率相似（如下圖）。

第一部分和第二部分的內(nèi)容重復(fù)率很高。圖3紅框標注了推特內(nèi)容的4大組成部分。一天內(nèi)記錄的10大發(fā)布頻率最高的短句可以歸類為3層，每層短句出現(xiàn)頻率非常接近。

目標網(wǎng)址偽裝

一旦目標對象點擊鏈接，該用戶就會碰到一系列的重定向，具體過程如下：

1. 用戶點擊推文上的鏈接
2. 這些鏈接會轉(zhuǎn)到Twitter的http://t.co服務(wù)中
3. http://t.co重定向至goo.gl——Google的短網(wǎng)址（見下圖）
4. goo.gl再重定向至“rotator（旋轉(zhuǎn)器）”網(wǎng)站。該旋轉(zhuǎn)器從goo.gl重定向中獲取連接，并通過簡單的用戶代理檢查對用戶再次進行重定向。如果請求來自Python的請求庫或cURL這樣的自動化程序，則將連接重定向到Twitter或Google
5. 一旦旋轉(zhuǎn)器將用戶視為“合法”，它將通過另一個重定向發(fā)送到最終的目的URL

這些重定向有多種用途：

• 混淆這些鏈接的最終目的地，避免反垃圾郵件服務(wù)，如Twitter的鏈接和谷歌短網(wǎng)址。
• 偽裝目標鏈接，并利用用戶對Google和Twitter域名的信任，誘使目標用戶點擊鏈接。
• 創(chuàng)建重定向的基礎(chǔ)結(jié)構(gòu)，如果其中一個鏈接被刪除，則快速添加另一個鏈接繼續(xù)操作。

在所有374208個谷歌短網(wǎng)址中，出現(xiàn)頻率最高的是http://t.co

SIREN的最終目的及與垃圾郵件僵尸網(wǎng)絡(luò)的關(guān)系

這些短網(wǎng)址經(jīng)過多次重定向后連接到的最終網(wǎng)站（色情、攝像頭拍攝、虛假約會交友網(wǎng)站等）都會誘使用戶進行注冊和消息訂閱。

盡管這些網(wǎng)站是合法的，但存在欺騙性。

很多網(wǎng)站的政策都聲稱會對用戶個人信息絕對保密。但實際上，將注冊用戶個人信息發(fā)給其它合作友商的行為也是司空見慣，給受害者帶來更多的垃圾信息。

2017年6月，Brian Krebs發(fā)現(xiàn)了一個大型的垃圾郵件攻擊活動，推廣一個鏈接到Deniro Marketing的色情網(wǎng)站和交友網(wǎng)站。

這個垃圾郵件活動具有一系列的僵尸網(wǎng)絡(luò)面板，主要通過電子郵件進行操作。Deniro Marketing在2010年曾被起訴過，但目前看來似乎還在其ASN上托管網(wǎng)站，并開展聯(lián)合推廣計劃。

SIREN僵尸網(wǎng)絡(luò)同樣將一些流量引入到與Deniro Marketing相關(guān)的網(wǎng)站。Krebs將其初步發(fā)現(xiàn)發(fā)表在http://KrebsOnSecurity.com上，并表示希望得到有關(guān)電子郵件僵尸網(wǎng)絡(luò)或Deniro Marketing的研究支持。

與SIREN相關(guān)的5個最終域名中的有2個托管在Deniro Marketing的ASN上：

1. http://Cheatingcougars.com（https://whois.domaintools.com/cheatingcougars.com）
2. http://milfshookup.com（https://whois.domaintools.com） /http://milfshookup.com）

http://Bgpview.io顯示，該ASN注冊于2010年注冊https://bgpview.io/asn/19884，聯(lián)系人來自網(wǎng)站http://datinggold.com。Dating Gold也是一個大型約會交友網(wǎng)站。

大部分“僵尸”賬戶都偽裝成帶有全裸或半裸照片的女性身份。

這類目標受害者大大提高了Dating Gold網(wǎng)站的男性注冊數(shù)量，合作營銷方也就能從中獲利了。其中很多網(wǎng)站還需要用戶提供電子郵件地址和電話號碼才能訪問會員門戶。

http://dattinggold.com上列出的物理地址與Deniro Marketing在BGPview上的地址列表相吻合，而且兩個處理付款業(yè)務(wù)的合作網(wǎng)站http://mntbill.com和http://ctpymnt.com也是相匹配的。

CTpymt和MntBill支付處理器的地址與Deniro Marketing相同

這波僵尸網(wǎng)絡(luò)的罪魁禍首是誰？

我們統(tǒng)計發(fā)現(xiàn)，這些“僵尸”Twitter賬戶的大部分自我聲明使用的語言都是俄語（詳見下圖）。

這一點的確值得注意，有12.5%的“僵尸”賬戶所顯示的賬戶名稱都包含與普通俄語相對應(yīng)的西里爾字母表的字母。

蹩腳的英語、西里爾文以及龐大的基礎(chǔ)結(jié)構(gòu)均表明SIREN發(fā)起方技術(shù)高超，并且來自于歐洲東部地區(qū)的可能性很大。該地區(qū)已經(jīng)發(fā)現(xiàn)類似SIREN垃圾郵件基礎(chǔ)設(shè)施的運行蹤跡。

en=英語（默認）、ru=俄語、es=西班牙語、en-gb=英式英語、tr=土耳其語、fr=法語、de=德語

僵尸網(wǎng)絡(luò)的搗毀

截至7月10日，ZeroFOX向Twitter安全小組報告了所有的僵尸賬戶資料與推文，隨后Twitter方面將其刪除。

Twitter響應(yīng)速度如此之快是因為該惡意僵尸網(wǎng)絡(luò)明顯違反了其服務(wù)條款。

ZeroFOX還向谷歌安全團隊匯報了所有的goo.gl短網(wǎng)址，谷歌方面立即刪除了所有相關(guān)短網(wǎng)址，并將完整域名添加至其黑名單。另外ZeroFOX也正在積極地發(fā)送數(shù)據(jù)遏制用戶的僵尸網(wǎng)絡(luò)垃圾郵件。

最佳實踐與SIREN的影響

由于這種僵尸網(wǎng)絡(luò)的多樣性，用戶和組織應(yīng)該了解SIREN下面這些TTP模式（TTP即Tactic、Technique和Procedure，包括攻擊者的行為、利用的資源和目標受害者的信息等，主要通過標準語言來多細節(jié)地描述攻擊者的行為）：

1. Twitter僵尸賬戶中的線程回復(fù)含有惡意網(wǎng)站鏈接，劫持用戶會話。
2. 在鏈接到最終URL前通過谷歌短網(wǎng)址服務(wù)于旋轉(zhuǎn)器進行多次重定向。
3. 即插即用式的基礎(chǔ)結(jié)構(gòu)——如果其中一個域名或網(wǎng)站遭到攔截，另一個網(wǎng)站或域名能夠立即候補，繼續(xù)完成重定向的過程。
4. 頻繁使用免費注冊的TLD平臺（谷歌的開源TLD注冊平臺），如.tk和.pw
5. 很多域名托管在ASN19884

該僵尸網(wǎng)絡(luò)對用戶及其他利益相關(guān)方帶來的影響可以總結(jié)為以下幾種形式：

• 受害者的財產(chǎn)損失。FBI把此類詐騙歸類為“romance scams（情感詐騙）”，他們表示曾有某個詐騙活動對受害者帶來了高達10萬美元的經(jīng)濟損失。
• 對受害者造成隱私安全問題。惡意網(wǎng)站在網(wǎng)絡(luò)內(nèi)外共享憑證。
• 品牌聲譽受損。發(fā)布推文是SIREN的重要傳播手段，因此保護社交平臺上的個人資料、頁面等遠離這些垃圾網(wǎng)站，有助于減少客戶接觸這些鏈接的幾率，達到品牌聲譽維護的目的。
• 盡管ZeroFOX沒有觀察到明顯的網(wǎng)絡(luò)釣魚或惡意軟件活動，但由于SIREN采用即插即用體系結(jié)構(gòu)，很容易實現(xiàn)對使用漏洞組件網(wǎng)站的惡意轉(zhuǎn)換和重定向。

免責聲明：
本文所涉及欺詐活動已報告給相關(guān)平臺，并作出了及時處理。本報告數(shù)據(jù)均為相關(guān)社交平臺API所收集的公開數(shù)據(jù)，不包含機密信息。

*參考來源：a href="https://www.zerofox.com/blog/inside-massive-siren-social-network-spam-botnet/"> zerofox，F(xiàn)B小編Carrie編譯，轉(zhuǎn)載請注明來自FreeBuf（http://FreeBuf.COM）