寫在前面的話

自 2023 年 8 月底以來，Unit 42的研究人員發(fā)現(xiàn)跟“標(biāo)題黨”（又名點擊誘餌）和惡意廣告內(nèi)容相關(guān)的受感染服務(wù)器數(shù)量出現(xiàn)了顯著增加，這些服務(wù)器或網(wǎng)站為什么對威脅行為者有如此吸引力呢？主要是因為這些網(wǎng)站其目的就是接觸大量潛在的木筆哦啊用戶，而且這些“標(biāo)題黨”網(wǎng)站通常使用的都是過時的舊版本軟件，因此入侵起來也更加輕松。

在這篇文章中，我們將介紹“標(biāo)題黨”網(wǎng)站/文章的危險性，并討論這些網(wǎng)站如何增加流量以獲取額外的廣告收入。除此之外，我們還會詳細(xì)分析如何利用網(wǎng)絡(luò)流量特征檢測易受攻擊的“標(biāo)題黨”網(wǎng)站。

“標(biāo)題黨”網(wǎng)站和廣告流量

本文所指的“標(biāo)題黨”網(wǎng)站，可以理解為指向可能包含有價值網(wǎng)頁內(nèi)容的鏈接，并通過“標(biāo)題誘餌”誘使用戶想要去點擊它。專門提供這種“標(biāo)題黨”內(nèi)容的網(wǎng)站其唯一目的就是為了獲取大量流量以產(chǎn)生廣告收益，因此“標(biāo)題黨”網(wǎng)站中的網(wǎng)頁通常會包含大量“入侵性”廣告。

毫無疑問，“標(biāo)題黨”站點需要大量的瀏覽量才可能產(chǎn)生廣告收入，因此這些網(wǎng)站通常使用以下三種策略來增加流量：

• 熱門話題或常青話題;
• 內(nèi)容發(fā)現(xiàn)平臺;
• 生成式人工智能(AI)工具;

1.熱門話題/常青話題

增加流量的一項關(guān)鍵策略就是關(guān)注熱門/常青話題，熱門/常青話題實際上與特定的主題、時間和地點都沒有關(guān)系，但用戶會覺得這些話題是當(dāng)下感興趣的。比如說，金融和健康等等。下圖顯示的是來自“標(biāo)題黨”網(wǎng)站的兩個頁面示例，其中一個是金融主題，另一個則是醫(yī)療健康主題：

2.內(nèi)容發(fā)現(xiàn)平臺

由于“標(biāo)題黨”內(nèi)容本身是通過廣告分發(fā)的，因此很多“標(biāo)題黨”網(wǎng)站還會依賴另一種策略來增加流量，即“內(nèi)容發(fā)現(xiàn)平臺”。

新聞機構(gòu)和其他內(nèi)容提供商會使用內(nèi)容發(fā)現(xiàn)平臺來創(chuàng)收，而“標(biāo)題黨”內(nèi)容提供商也會經(jīng)常使用這些服務(wù)來增加自己內(nèi)容的訪問流量。

內(nèi)容發(fā)現(xiàn)平臺會使用各種技術(shù)來為廣告進行偽裝，其中一種方法成為“原生廣告”。這種方法可以將廣告內(nèi)容配置為類似于其出現(xiàn)網(wǎng)站的外觀和風(fēng)格，這樣一來用戶就很難區(qū)分出當(dāng)前的內(nèi)容到底是網(wǎng)站的原始內(nèi)容還是廣告內(nèi)容了。

下圖中顯示的就是一個新聞?wù)军c上出現(xiàn)的原生廣告示例：

我們在上面這張圖片中添加了一個指向“標(biāo)題黨”內(nèi)容的紅色箭頭，這個內(nèi)容托管在“hxxps://gofindyou[.]com/health/what-causes-plaque-psoriasis-heres-what-doctors-need-you-to-know”。分析后發(fā)現(xiàn)，這個網(wǎng)站至少運行了一款過時的舊版本軟件，而且網(wǎng)頁中的HTML代碼也表明，它使用了一款名為Yoast SEO的WordPress插件：

HTML代碼中顯示的Yoast SEO 插件版本20.8最早發(fā)布于2023年5月23日，上圖所示的Web頁面創(chuàng)建于2023年10月27日，而當(dāng)時Yoast SEO插件的最新版本為21.4，因此這已經(jīng)是一個過時的舊版本插件了。

3.生成式人工智能（AI）工具

目前，“標(biāo)題黨”內(nèi)容的作者所使用的最新策略就是生成式人工智能（AI）工具了，例如Jasper和AIPRM等，這些工具可以提供一種簡單的方法來生成 SEO 優(yōu)化的內(nèi)容以增加網(wǎng)站流量。不過，威脅行為者經(jīng)常出于惡意目的濫用或顛覆合法產(chǎn)品，但這并不一定意味著被濫用的合法產(chǎn)品存在缺陷。

在下面的例子中，我們可以看到另一個“標(biāo)題黨”頁面，這個頁面的內(nèi)容是使用ChatGPT編寫的，地址為“hxxps://delhiproduct[.]info/top-24-earn-money-with-paid-online-surveys”，該頁面源代碼使用了針對Google Analytics的MonsterInsights SEO v8.1.0插件：

截至2023年10月3日，MonsterInsights插件的最新版本為8.20.1，這意味著 8.1.0 版本至少已經(jīng)過時兩年了，而且該插件的8.1.0版本也存在存儲型XSS漏洞。

尋找易受攻擊的站點

如果想要入侵任何一個網(wǎng)站，威脅行為者必須要知道目標(biāo)網(wǎng)站的Web服務(wù)器所使用的技術(shù)棧，其中包括操作系統(tǒng)、Web內(nèi)容管理軟件（CMS）以及相關(guān)的插件和主題等等。

威脅行為者需要使用Web技術(shù)棧來判斷目標(biāo)服務(wù)器是否運行了任何過時的軟件或應(yīng)用程序，有了這些信息，威脅行為者就可以輕松找到公開的漏洞和漏洞利用技術(shù)來入侵目標(biāo)網(wǎng)站了。

那么我們?nèi)绾未_定目標(biāo)服務(wù)器所使用的Web技術(shù)棧呢？我們可以通過網(wǎng)站的URL模式、HTML內(nèi)容和功能來進行判斷和分析，而且網(wǎng)頁的外觀也能提供一定的線索。

下表中顯示了部分能夠披露網(wǎng)站W(wǎng)eb技術(shù)棧的指標(biāo)示例：

需要注意的是，上表中介紹的前兩種技術(shù)在確認(rèn)CVE-2023-3169漏洞的利用上非常有用。

攻擊趨勢：CVE-2023-3169

2023年9月11日，MITRE披露了CVE-2023-3169漏洞的相關(guān)信息，當(dāng)tagDiv的Newspaper和Nersmag WordPress主題中安裝了Composer插件時，便會出現(xiàn)這個漏洞。這個漏洞被披露時，總共有數(shù)千個WordPress網(wǎng)站受該漏洞的影響。

Unit 42團隊的研究人員通過分析遙測數(shù)據(jù)，統(tǒng)計出了下圖所示的數(shù)據(jù)，并在兩個月內(nèi)發(fā)現(xiàn)了超過10000個受感染的WordPress網(wǎng)站：

如上圖所示，這些受入侵的網(wǎng)站很大一部分是“標(biāo)題黨”網(wǎng)站和廣告網(wǎng)站，其中“標(biāo)題黨”站點和廣告站點占檢測數(shù)量的30%以上，而在這30%中，至少有80%的受感染網(wǎng)站使用了tagDiv的Newspaper主題，另外還有6%使用了tagDiv的Newsmag主題。

注入腳本樣例

下圖顯示的是研究人員在2023年10月上旬捕捉到的一個惡意腳本樣本，其中惡意腳本被注入到了其中一個受感染網(wǎng)站的網(wǎng)頁中，注入的腳本代碼部分使用顏色高亮標(biāo)記：

這個經(jīng)過混淆處理的腳本使用了十進制值來代替ASCII字符，將這些數(shù)字轉(zhuǎn)換成ASCII文本之后，可以得到下列惡意腳本代碼：

其中的“hxxps://stay[.]decentralappps[.]com/src/page.js”表明該活動使用了Balada Injector并利用CVE-2023-3169實施攻擊。

“標(biāo)題黨”和廣告網(wǎng)站的趨勢分析

在2023年9月15日至22日的案例研究中，我們監(jiān)控了1600個隨機選擇的WordPress網(wǎng)站，并對用戶訪問受感染站點的行為進行了檢測和分析。結(jié)果表明，受感染的“標(biāo)題黨”網(wǎng)站和廣告網(wǎng)站的數(shù)量比例接近三比一，下圖中顯示了相關(guān)的統(tǒng)計數(shù)據(jù)：

總結(jié)

根據(jù)我們的遙測數(shù)據(jù)，我們可以預(yù)測將來還會有大量受感染的“標(biāo)題黨”網(wǎng)站和廣告網(wǎng)站出現(xiàn)，由于這些網(wǎng)站可以接觸到大量的用戶，并且還會使用過時的舊版本軟件，因此它們會繼續(xù)成為威脅行為者嚴(yán)重的香餑餑。

對于廣大用戶來說，應(yīng)當(dāng)意識到相關(guān)的風(fēng)險，并調(diào)整自己網(wǎng)站沖浪或瀏覽內(nèi)容的習(xí)慣。