Специалисты компании Imperva обнаружили ботнет, который в течение нескольких месяцев занимается автоматическим поиском уязвимых сайтов, а затем взламывает их и размещает там оптимизаторский спам — ссылки, призванные улучшить позиции заказчиков атаки в выдаче поисковых систем.

Образец HTTP-запроса, отправляемого ботнетом
Образец HTTP-запроса, отправляемого ботнетом
Атака начинается с попытки найти и эксплуатировать уязвимость, допускающую внедрение кода SQL. Для этого система злоумышленников бомбардирует жертву HTTP-запросами, многие поля которых заполнены кодом T-SQL — расширенной версии SQL, которую поддерживают системы управления базами данных Microsoft и Sybase.

Если код на T-SQL будет исполнен, он попытается обойти все таблицы и обновить содержимое каждой записи, которая может содержать текст. В случае успеха в них оказывается добавлен HTML, отображающий от 9 до 45 оптимизаторских ссылок. Как правило, они не бросаются в глаза — злоумышленники не хотят, чтобы их заметили раньше времени.

После размещения ссылки периодически обновляются. Около 15 процентов из них указывают непосредственно на продвигаемые сайты. Остальные накручивают рейтинг линк-ферм.

Специалисты Imperva обратили внимание, что при атаке на сайт запросы поступают с множества различных IP-адресов. Это объясняется тем, что для распространения ссылок используется ботнет. Дальнейшие исследования показали, что узлы ботнета рапределены по 34 странам мира. Около 48% из них находятся в Соединённых Штатах; кроме того, по 2% приходится на ЮАР, Кипр, Турцию, Великобританию, Швецию, Нидерланды, Францию, Германию и Бразилию.

Точная дата начала оптимизаторской кампании неизвестна, но наблюдения свидетельствуют о том, что в ноябре 2015 года она уже шла. В апреле ботнет продолжал активно размещать ссылки. Отчёт, подготовленный Imperva, не рассматривает более поздних событий.



Оставить мнение