Источник информации
Cтатья "Современные интернет-атаки" предоставлена Sophos Plc и SophosLabs.
Август 2007 г.
Интернет представляет собой огромное хранилище информации, запросы к которому (с помощью поисковых систем) являются неотъемлемой частью рабочей и частной жизни множества людей. Использование поисковых интернет-систем при выявлении потенциальных целей особенно актуально в случаях, когда атаке подвергается сам веб-ресурс, будь то сайт или отдельное веб-приложение. Данная техника используется в целом ряде экземпляров вредоносного ПО, наиболее известным из которых является Perl/Santy [27] — червь, применяющий поисковую систему Google для выявления новых жертв, использующих определенное форумное интернет-приложение. Если раньше хакеры использовали для поиска уязвимых компьютеров в сети специализированные скрытные средства, то теперь подходящие для атаки мишени можно находить с помощью поисковых систем. Предположим, что в популярном приложении для ведения форума или блога найдена уязвимость. Злоумышленники могут использовать поисковые системы для выявления сайтов, на которых имеются создаваемые этим приложением страницы, и формирования списка потенциальных жертв.
Массовое использование поисковых интернет-систем дает создателям вредоносного ПО возможность расширить спектр своих действий. Создание сайтов, получающих высокий поисковый рейтинг и попадающих в число первых результатов запроса, помогает увеличить вероятность попадания жертвы на такой сайт с последующим ее заражением. Изменение контента страницы для манипуляции поисковым рейтингом зачастую становится очевидным при анализе скомпрометированной страницы. Очень часто можно видеть несколько блоков ссылок на порнографические или фармацевтические сайты (см. рис. 6). Для сохранения невидимости на открываемой странице в блоках обычно используется атрибут style=display:none. Это явление получило название link bombing (или Google bombing [28], несмотря на то, что данный метод также применим и к другим поисковым системам). При его использовании сайт заполняется множеством ссылок на другой, конечный сайт, чтобы поднять рейтинг последнего в поисковых результатах. Ранее в этом году компания Google начала использовать технологии борьбы с этим явлением, способные минимизировать последствия подобных попыток манипуляции рейтингом [29].
Рис. 6. Фрагмент исходного кода, добавленного к нормальному сайту в ходе атаки. Можно видеть добавленные теги iframe и блоки "бомб-ссылок".