Close
KR. LABORATORIES
IT SECURITY AND RESEARCH LABS
 UK EN
Mastodon Twitter Linkedin

Web Domain Intelligence: виявляємо та усуваємо шкідливі сайти

Основою для цієї статті послужили численні кіберінциденти, пов’язані з появою у пошукових системах різноманітних шкідливих сайтів – фішингових сторінок, клоак, дорвеїв, які вводять користувача в оману та ведуть деструктивну діяльність. У цьому матеріалі я розкажу як виявляти та знешкоджувати подібні сайти.

Зміст статті

Що таке шкідливі сайти і чим це небезпечно?

Malware сайти

ℹ️ Шкідливий сайт (англ. Malicious site, Malware, Suspicious site) – це електронний ресурс або додаток, який будь-яким чином порушує правила, вимоги, стандарти публікації в інтернеті, веде протиправну/шахрайську діяльність, наносить шкоду користувачам/відвідувачам/електронним ресурсам, застосовує заборонені техніки/тематики, прийоми публікації/обробки інформації, нехтує нормативно-правовими актами.

За типом та змістом шкідливі сайти можна умовно поділити на:

  • ☠️ Фішингові сайти (Phishing) – це підроблені сайти, які  видають себе за сайти компаній чи відомих людей, маскуються під популярні онлайн-сервіси. Все зводиться до того, щоб заманити користувача на фішингову сторінку та перехопити будь-яким чином його дані.
  • ☠️ Bot-net – це організовані в єдину мережу шкідливі електронні ресурси, зокрема веб-сервери,  які можуть здійснювати масові шкідливі операції: проводити DDOS-атаки, публікувати коментарі у соцмережах або на сайтах (тролінг, спамінг), викрадати контент, зламувати, завантажувати файли (Shell/LFI/RCI-атаки) і проникати у комп’ютерні мережі.
  • ☠️ Дорвеї (Doorways) – це автоматично згенеровані та оптимізовані під популярні ключові слова сайти, які маскуються під інформаційні сайти. Можуть також несанкціоновано парсити/перехоплювати/вбудовувати унікальний контент інших сайтів (шкідливі техніки Spoofing, Hijacking, Hotlinking), завдяки чому індексуються та потрапляють у SERP (пошукову видачу), де й отримують відвідувачів. Зароблять на несанкціонованому зборі/перехопленні даних відвідувачів (це можуть бути ваші: cookie, токени, сесії, логіни, паролі), переспрямовуванні і монетизації трафіка (кліки, переходи, перегляди, скачування). Цей вид шахрайства існує давно й має назву “BlackHat SEO”, тобто пошукова оптимізація з використанням заборонених методів, або “Чорне SEO”.
  • ☠️ Клоаки (Cloaking) – це ціла мережа сайтів-дорвеїв, організованих в одну велику “клоаку”, яка є автоматизованою і розприділеною системою, діє за різними алгоритмами, в залежності від браузера, User-Agentа, IP-адреси, країни відвідувача. Часто це є причиною, чому пошукові та антивірусні системи не бачать в шкідливих сайтах загрози та позначають їх “надійними” (Safe). 

Усі вищеперелічені техніки являють собою загрозу для власників веб-сайтів і звичайних інтернет-користувачів.

Приклади шкідливих веб-сайтів
Приклади шкідливих Malware-сайтів. На прикладі №1 зображено шкідливий сайт, який маскується під пошукову систему. На ній десятки дорвеїв, які являють собою єдину клоаку. При переході на них, спрацьовує скрипт, який автоматично переправляє відвідувача на сторонні сайти. На прикладі №2 зображено вигляд сайту дорвея, який імітує статейник. При взаємодії відвідувача з сайтом – відбуваються ланцюжкові перенаправлення на різні інші токсичні сайти (chain redirect). На прикладі №3 показано як шкідливий сайт закликає користувача до дії – підписатись на оновлення. Насправді, при натисканні відбувається взаємодія вашого браузера з сайтом зловмисника.

Ознаки шкідливих сайтів

Ознаки шкідливих сайтів

Наведемо кілька простих прикладів та сценаріїв деструктивної діяльності malware-сайтів:

  1. Парсинг чужого контенту. Схема проста: сайт-крадій публікує ваш авторський контент у себе на сторінці і він знеціюнється, перестає бути унікальним. Пошукова видача розбавляється додатковими результатами/сайтами, відбувається каннібалізація ключових слів й ваші позиції по ним знижуються. Бували випадки, коли сайт крадія мав вищий рейтинг й відповідно пошукова система показувала його вище/частіше у результатах видачі, або взагалі сприймала за джерело. Попередити такі випадки можна і треба різними способами: а) вказувати копірайт  на своєму сайті, із зазначенням без права на повторне використання, або тільки за наявності вказаного гіперпосилання на ваш сайт; б) використовувати онлайн-системи моніторингу та захисту контенту від повторного використання, наприклад DMCA, Copyscape. Вони будуть вчасно виявляти плагіат та сповіщати про нього. Зрештою, це дозволить вам більш аргументовано подати скаргу на злодія.
  2. Заниження позицій у пошуковій системи і проблеми з індексацією. Схема наступна: сайт сумнівної якості і тематики у великих кількостях регулярно розміщує різні посилання на ваш сайт. Відповідно непропорційно наростає негативна зворотна посилальна масса (десятки, сотні, а деколи й тисячі токсичних посилань за короткий період).  Пошуковик це виявляє і трактує як зв’язок/співпрацю з порушником, загрозу або знак низької якості, відповідно починає застосовувати до обох сайтів алгоритми очистки – Google Пінгвін, Google Панда або Google Колібрі. Причому це складно діагностувати, якщо ви не фахівець в SEO й не перевіряєте позиції свого сайту – Google, зазвичай, не повідомляє про дії своїх алгоритмів. У висновку, сайт, незважаючи на хороший контент, зникає з видачі ТОПу. Іноді рятує система відхилення зворотніх посилань, відома як Google Disawov Tools або повне перезавантаження контенту.
  3. Бот-трафік і проблеми з доступністю. Схема: організована бот-нет мережа під управлінням зловмисників регулярно відсилає на ваш сайт роботів, які імітують дії реальних користувачів. Відвідуваність вашого сайту непропорційно зростає, але показники відмов – збільшуються. Пошукова система розцінює це як штучне нарощування трафіку та низьку якість, безкорисність контенту, й застосовує санкції по відношенню до сайту. Може навіть виключити з індексу. Також подібний бот-нет трафік використовується для переповнення HTTP-каналу, зменшення швидкості/працездатності веб-сервера, створення перебоїв у роботі й таким чином викликає перенавантаження і падіння сервера, іншими словами DDOS (Distribute Denial of Service, Відмова в обслуговуванні). У висновку, сайт перестає функціонувати, а пошукові системи розцінюють недоступність як негативний фактор ранжування. Тим часом, зловмисники можуть цим скористатись й відправити запит на видалення вашого сайту з пошукової видачі (функція Google removal outdated content).
  4. Веб-спам. Схема: зловмисники, використовуючи бот-нет мережу і систему коментування вашого сайту або відкриту реєстрацію, публікують спам у величезних кількостях. У висновку, співвідношення якісного і неякісного контенту змінюється. Ваш сайт стає заспамленим і нерелевантним. Відповідно зменшується довіра збоку користувачів і пошукових систем.
  5. Взлом та інфікування веб-сайтів і серверів. З допомогою спеціальних парсерів, зловмисники масово сканують інтернет у пошуку незахищених сайтів, або сайтів з явними вразливостями. З допомогою експлойтів вони проводять атаки віддаленого доступу, завантажують файли (SQL-injection, Remote File Inclusion, RFI) і виконують шкідливий код (Remote Code Execution, RCE), далі розгортають середовище дистанційного керування сервером (OS Shell). Сайт стає повністю під контролем злочинців. Він може продовжувати функціонувати і водночас непомітно для власника розсилати спам, показувати нав’язливу рекламу відвідувачам (adware), перехоплювати їх дані (spyware, шпигунський скрипт “стилер”), використовуватись як інструмент для здійснення атак і як площадка для монетизації незаконного контенту/публікації посилань (лінкоферма) і т.д.

Приклади порушень доменів

Загалом, перечитуючи правила різних хмарних платформ і інтернет-майданчиків, реєстраторів доменних імен, можна сформувати наступний перелік порушень:

  1. Домен було зареєстровано в цілях обману. Це значить, що домен початково зареєстрований власником для проведення будь-яких несанкціонованих, протиправних дій, з метою ошукати користувача і пошукові системи, ввести в оману (misleading customers). Такі сайти, зазвичай, мають незрозумілу функцію, публікують чужий або спамний контент, видають себе за інших (impersonal). Конкретні приклади розглядались вище.
  2. Домен незаконно парсить, публікує, поширює контент інших електронних ресурсів (тексти, заголовки, зображення і т.д.). Це значить, що власник сайту займається несанкціонованим парсингом й присвоєю собі чужу інтелектуальну працю. Зазвичай, це проблема авторського права (DMCA Notice and Procedure for Copyright Infringement Claims) і вирішується такими шляхами: через скаргу на email-адресу власника, з проханням вилучити незаконно опублікований контент; через скагу провайдеру; через суд. Проблема у тому, що шкідливі сайти не містять жодних email-адрес для зворотнього зв’язку, а провайдери (реєстратори/хостери) не мають права розголошувати персональні дані третім сторонам. Тому, на практиці дуже складно зв’язатися з власниками шкідливих сайтів. Але, якщо постаратися – все ж можливо.
  3. Домен використовує техніки BlackHat SEO та обманює пошукові системи. Як вже було сказано, це техніки та дії, які суперечать правилам і рекомендаціям пошукових систем. До них можна віднести: дорвеї, клоакінг, спамдексінг, клікджекінг, хіджекінг тощо.
  4. Домен містить шкідливий код, скрипти або інше шкідливе програмне забезпечення. Сюди належать: malware, spyware, adware, шелли, трояни та інші веб-об’єкти і елементи, котрі можуть нашкодити потенційному користувачу, відвідувачу.
  5. Домен містить шкідливі фішингові, трекінгові, шпигунські посилання, приховані ланцюжкові редиректи. Зазвичай, вони переспрямовують відвідувачів на інші сайти, часто сумнівної тематики, з подальшою шахрайською метою.
  6. Домен розголошує особисту інформацію інших осіб/третіх сторін, без їх згоди. Наприклад, публікує у відкритому доступі персональні дані, конфіденційні, службові матеріали.
  7. Домен незаконно або приховано збирає персональні дані користувачів, відвідувачів. Наприклад, паролі облікових записів, приватну переписку, номери кредитних карток і будь-яку іншу чутливу, особисту, службову інформацію.
  8. Домен містить матеріали, які заохочують, пропагують, прямо чи опосередковано, закликають до злочинів, насильства, або виправдовують їх.
  9. Домен містить матеріали, які заохочують, пропагують, розпалюють національну, расову чи релігійну ворожнечу, дискримінацію.
  10. Домен розповсюджує неліцензійні матеріали (контент, торрент-трекери, онлайн-кінотеатри та ін.). Тобто, будь-які матеріали, які не призначені для вільного розповсюдження. 
  11. Домен містить матеріали дитячої порнографії. Суворо заборонено у всіх країнах світу і підпадає під статтю КК.
  12. Домен порушує роботу інших електронних ресурсів. Здійснює веб-хакінг, SPAM/BruteForce/DDOS-атаки, приводить до збоїв і помилок сторонніх сайтів. Підпадає під статтю №363 ККУ.
  13. Домен здійснює продаж наркотичних речовин або будь-яких інших нелегальних товарів, які заборонені законом.
  14. Домен будь-яким чином порушує законодавство та нормативні акти України або інших країн.

Відштовхуючись від цієї правової бази, з великою долею ймовірності можна довести шкоду будь-якого шкідливого сайту та абсолютно законним шляхом нейтралізувати його.

Як виявляти шкідливі сайти та загрози?

Як виявляти шкідливі сайти

Виявлення шкідливих сайтів потребує певних навичок та спостережливості.  Зокрема:

  • Бути у курсі останніх новин і подій з кібербезпеки: підписатись на основні блоги і канали інформації, дізнаватись про нові типи атак і кіберзагрози, тестувати та досліджувати вразливості, пов’язані з тими чи іншими технологіями, знайдені в роботі тих чи інших CMS-систем.
  • Регулярно ознайомлюватися з результатами пошукової видачі (Search Engine Result Pages, SERP): використовуючи ключові слова та різноманітні Google-дорки, просунуті пошукові оператори (Advanced Google Search Operators).
  • Перевіряти позиції сайту у пошуковій видачі та проводити аналіз конкурентів.
  • Перевіряти контент на плагіат і унікальність.
  • Аналізувати канали лідогенерації і зворотні посилання: джерела трафіку, анкори, якість “донорів” (тематичні/нетематичні/спамні).
  • Фіксувати будь-які зміни на сайті: в контенті, вихідному коді, аналізувати логи (Access/Erro Log Files) та блокувати відвідувачів з підозрілих IP-адрес/User-Agent.

Таким чином ви матимете загальну картинку того, що відбувається з вашим сайтом і зможете вчасно визначати і попереджувати загрози та аномалії.

SEO і WEBINT аналіз шкідливих сайтів

Пошуковий SEO-аналіз дозволяє оцінювати домени за різними параметрами і критеріями. Якість, важливість, авторитетність. А також розрізняти шкідливі фактори. Бувають дроп-домени з історією та хорошим рейтингом, якими хтось покористувався і кинув. SEO-інструментарій є корисним при проведенні комплексного веб-аналізу (WEBINT).

🎯 Список онлайн-сервісів, які допоможуть провести комплексну SEO-оцінку:

  • SEO PowerSuite  – люксовий набір з 3-х інструментів WebsiteAuditor, SeoSpyGlass і LinkAssistant для керування просуванням та оптимізацією сайту у пошукових системах. Підтримка OS Windows/Linux.
  • SEO Screaming Frog Analyser – популярна програма для аудиту електронних ресурсів.
  • XENU – популярний парсер, дає можливість просканувати усі URL-посилання сайту, включаючи биті і приховані.
  • Ahrefs – популярний онлайн-сервіс для пошуку та аналізу зворотніх посилань (backlinks), а також іншої веб-аналітики.
  • Similar Web – авторитетний сервіс пошукової аналітики. Покаже такі дані як вік домену, канали трафіку, позиції та багато іншого.
  • Serpstat – популярний онлайн-сервіс для перегляду різноманітних SEO-метрик домену, наприклад історія трафіку, ключові слова.
  • Semrush – аналіз сайту по даним компанії SEMRUSH. 
  • SEranking – аналогічно попередньому.
  • Mangools – сервіс відомого SEO-експерта Браяна Діна.
  • Ubersuggest – сервіс відомого веб-аналітика Ніла Пателя.
  • SiteWorthTraffic – аналітика відвідуваності сайту.
  • Website SEO Checker – аналіз різноманітних показників рейтингу сайту: DA, PA, TF, CF та ін.
  • Alexa Rank Checker – аналіз рейтингу сайтів по даним компанії Alexa.
  • MOZ Checker – аналіз сайту по даним компанії MOZ.
  • Webarchive – всесвітній електронний  архів, де зберігаються кешовані сайти веб-сайтів. Дозволить проаналізувати попередній контент, версії сайту за різні періоди, колишніх власників.
  • Builtwith, Wappalyzer – сервіси аналізу технологій, які використовує сайт.
  • PublicWWW – пошук сайтів, які використовують схожий код і технології.
  • Duplichecker, Siteliner,  Advego Plagiatus – пошук дубльованого контенту, плагіату, перевірка унікальності контенту.

OSINT та Reverse аналіз шкідливих сайтів

Наступним кроком буде проведення комплексної розвідки домену Web Domain Intelligence та збір доказової бази: аргументів, фактів, будь-яких свідчень протиправної діяльності — POC (Proof of Concept).

🎯 Список OSINT/Reverse-інструментів з мережевої розвідки:

  1. Масова перевірка WHOIS
  2. Історія WHOIS
  3. Історія IP/DNS (SecurityTrails)
  4. Reverse IP/NS (DNSlytics)
  5. Пошук субдоменів
  6. Аналіз мережевої інфраструктури (DNSdumpster)
  7. Reverse Google Analytics
  8. Аналіз зв’язків в Maltego

🎯 Додаткові сервіси для OSINT-аналізу IP/URL:

  1. ZoomEye — кібер-пошукова система.
  2. GreyNoise — кібер-пошукова система.
  3. Shodan — кібер-пошукова система.
  4. Censys — кібер-пошукова система.
  5. AlienVault — Threat Intelligence платформа.
  6. Maltiverse Threat Analyser — аналізатор вразливостей і кібер-загроз.
  7. CyberGordon — чекер шкідливих сайтів.
  8. Cisco Umbrella — Threat Intelligence платформа.
  9. SpiderFoot — Threat Intelligence програма.
  10. URLscan — чекер посилань.
  11. UrlDNA — аналізатор доменів.
  12. URLvoid — чекер посилань.
  13. Scanurl — аналізатор посилань.
  14. URLhaus Database аналізатор сайтів.
  15. Unfurl — аналізатор довгих URL-адрес.
  16. Check short URL — аналізатор коротких URL-адрес.
  17. URL Redirect Checker — аналізатор редиректів.
  18. URL capture — чекер посилань.
  19. HTTP request viewer — аналіз заголовків.
  20. URL query — аналіз запитів URL.

Читайте також: Кіберпошукові системи для пентестера

🎯 Сканери для аудиту і тестування:

  1. BurpSuite — інструмент аудиту і тестування безпеки.
  2. OWASP Zap — сканер і аналізатор веб-сайтів.
  3. Acunetix Vulnerability Scanner — сканер і інструмент тестування безпеки веб-сайтів.
  4. WPScan — аналізатор, сканер, інструмент тестування сайтів на WordPress.
  5. NMAP — сканер мережевих портів.
  6. Nikto — сканер вразливостей мережевих ресурсів.
  7. Metagoofil — парсер файлів і аналізатор метаданих.
  8. Joomscan — сканер, аналізатор вразливостей сайтів на CMS Joomla.
  9. Dirb — парсер URL-адрес.
  10. Dirhunt — парсер URL-адрес.
  11. TheHarvester — мережевий сканер-парсер для OSINT.
  12. Photon — краулер веб-сайтів.

Читайте також: ТОП сервісів для аудиту безпеки сайтів 

🎯 Сервіси пошуку та виявлення шкідливого коду (вірусів/троянів):

  1. Hybrid Analysis (Falcon Sandbox) — пісочниця для тестування шкідливих посилань, сайтів, файлів.
  2. Joe SandBox — пісочниця для тестування malware.
  3. AnyRun — ще одна пісочниця.
  4. Quterra — пошук вірусів на веб-сайтах.
  5. VirusTotal — антивірусний сканер файлів.

Читайте також: Як перевірити URL-посилання на фішинг

Як та куди повідомляти про шкідливі сайти?

Зібрану інформацію по виявленим шкідливим сайтам експортуємо і формуємо документ-звіт (з позначкою “Конфіденційно”), який далі можна розіслати у відповідні інстанції з метою блокування/занесення у чорні списки:

1. Computer Security Incident Response Team (CERT/CSIRT):

2. Антифрод і антивірусні системи:

3. Реєстратори доменних імен:

4. Хостинг, Cloud-провайдери:

5. Блек-лісти, бази даних:

6. Google Report:

Додаткові посилання

ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:

Picture of Konrad Ravenstone
Konrad Ravenstone
Український білий хакер. Аудитор, OSINT-аналітик. Penetration Tester в KR. Laboratories. Досліджує інтернет-технології з 2011 року. Впроваджує кіберзахист інформаційних систем та електронних ресурсів на всіх рівнях.
Усі записи
5 1 голос
Рейтинг статті
Підписатися
Сповістити про
guest
2 Коментарі
Старіші
Новіші Найпопулярніші
Вбудовані Відгуки
Переглянути всі коментарі
Virender Kumar
Virender Kumar
1 рік тому

Hi! Thanks a lot! Great article!

1
Відповідь
KR. Laboratories
Адмін
KR. Laboratories
1 рік тому
Відповісти  Virender Kumar

You welcome! 🙂

0
Відповідь
Варто прочитати:
MENU
2
0
Поставте запитання й отримайте відповідь!x
Отримати комерційну пропозицію
Оформити заявку
Замовити консультацію
Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!