แฮกเกอร์ไล่ยึดเว็บไซต์ ทำ SEO สายมืด เพื่อแพร่กระจายมัลแวร์ Gootloader

การใช้เทคนิค Search Engine Optimization หรือ SEO นั้นสามารถใช้งานได้ทั้งในการดันเว็บไซต์ที่ทำธุรกิจตามปกติให้ขึ้นหน้าแรก หรือใช้ในทางลบในการดันเว็บอันตรายขึ้นได้เช่นเดียวกัน ดังเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการที่กลุ่มแฮกเกอร์ที่กำลังทำการแพร่กระจายมัลแวร์ Gootloader ได้มีความพยายามที่จะทำการแพร่กระจายมัลแวร์ดังกล่าวผ่านทางเว็บไซต์ที่กลุ่มแฮกเกอร์แพร่มาได้ โดยมุ่งหวังที่จะให้เกิดการแพร่กระจายในวงกว้าง ซึ่งการตรวจพบปฏิบัติการของแฮกเกอร์กลุ่มดังกล่าวนั้นเป็นผลงานของทีมวิจัยจากบริษัท Sophos ซึ่งเป็นบริษัทที่พัฒนา และจัดจำหน่ายซอฟต์แวร์รักษาความปลอดภัยไซเบอร์ในระดับองค์กร

ซึ่งทางทีมวิจัยได้ระบุว่า กลุ่มแฮกเกอร์นั้นได้มุ่งเน้นไปยังกลุ่มเว็บไซต์ที่สร้างขึ้นบน Wordpress เป็นหลัก โดยหลังจากที่ทำการยึดเว็บไซต์ได้แล้ว ทางกลุ่มจะทำการดัดแปลงเว็บไซต์ด้วยวิธีการที่หลากหลาย อย่างเช่น

• ฝังโค้ด PHP ไว้บนเว็บไซต์เพื่อใช้ในการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่มีชื่อว่า Mothership โดยในการติดต่อการเซิร์ฟเวอร์ C2 นั้นมีการเข้ารหัสในระดับ base-64 ไว้เพื่อความปลอดภัยอีกด้วย
• ฝังโค้ดไว้บน Plugin ของ Wordpress ที่มีชื่อว่า Hello Dolly เพื่อให้ตัวมัลแวร์สามารถคงอยู่บนตัวระบบและทำงานได้ตลอดเวลา (Persistence)
• ใช้ประโยชน์จากฐานข้อมูล (Database) ของ Wordpress ที่มีชื่อว่า backupdb_wp_lstat เพื่อสกัดกั้นการเข้าถึงเว็บไซต์โดย IP ที่อยู่ในขอบเขตที่กำหนด (Range) ไม่ให้เข้าถึงเว็บไซต์ได้มากสุดถึง 24 ชั่วโมง
• นอกจากนั้นยังมีการแทรก JavaScript สำหรับการตีรวนการตรวจจับ (Obfuscation) ไว้ในส่วนโค้ดของมัลแวร์

โดยสำหรับในส่วนของการผลักดันเว็บไซต์ดังกล่าวให้ขึ้นหน้าแรกของการค้นหาเพื่อให้เข้าถึงกลุ่มเป้าหมายนั้น ทางกลุ่มแฮกเกอร์ก็ได้มีการใช้เทคนิคที่เรียกได้ว่า การทำ SEO สายดำ หรือ Blackhat SEO ด้วยการใช้สารพัดเทคนิคพิเศษ ไม่ว่าจะเป็น

• การฝังชุดคำสำหรับใช้การค้นหา หรือ Keywords ไว้ในส่วนต่าง ๆ (Elements) บนเว็บไซต์เพื่อที่จะกระตุ้นให้เกิดการค้นหาแล้วพบเว็บไซต์ได้ง่าย
• สร้างเว็บบอร์ด (Forum) ไว้บนเว็บไซต์ แล้วตั้งกระทู้ที่ทั้งหัวกระทู้ และบทสนทนาภายในตรงกับชุดคำที่ผู้คนมักใช้ค้นหาบ่อย ๆ (Search Queries)
• ใช้เทคนิคต่าง ๆ ในการจัดการส่วนของฐานข้อมูลบนเว็บไซต์ Wordpress เพื่อให้ส่งข้อมูลคอนเทนต์อันตราย (เช่น คอนเทนต์ที่มีมัลแวร์ที่กล่าวไว้ข้างต้น) ไปยัง Search Engine รายต่าง ๆ

ภาพจาก : https://cybersecuritynews.com/gootloader-malware-employs-blackhat-seo-techniques/

ซึ่งเทคนิคเหล่านี้เรียกได้ว่าเป็นส่วนหนึ่งที่แฮกเกอร์ได้นำเอาเข้ามาใช้งานเพื่อผลักดันเว็บไซต์ที่ถูกยึดมาได้ขึ้นไปสู่หน้าแรกบน Search Engine เท่านั้น นอกจากนั้นแล้ว ทางทีมเว็บไซต์ยังได้เปิดเผยอีกว่า เว็บไซต์ที่ปนเปื้อนมัลแวร์ไม่จำเป็นต้องเป็นเพียงแค่เว็บไซต์ปลอมที่แฮกเกอร์สร้างขึ้นมาโดยเฉพาะเท่านั้น เนื่องจากหลายเว็บไซต์ที่ถูกสร้างมาเพื่อจุดประสงค์เชิงบวก หรือเพื่อทำธุรกิจจริง ๆ หลายเว็บไซต์ก็ได้ถูกแฮกเกอร์ทำการยึดไปใช้เช่นเดียวกัน อย่างเช่น my-game[.]biz เดิมนั้นเคยเป็นเว็บไซต์ของทีมงานของทางวิดีโอเกมส์ Counter Strike ในประเทศเยอรมนี แต่ในภายหลังก็ได้ถูกแฮกเกอร์ยึดไปใช้เพื่อแพร่กระจายมัลแวร์ Gootkit (Gootloader) ไปแทน

นอกจากนั้น ทางทีมวิจัยยังได้เผยแพร่รายละเอียดของโค้ด JavaScript ที่อยู่บนมัลแวร์ Gootloader เพื่อให้นักพัฒนาเว็บไซต์ใช้ในการตรวจสอบเว็บไซต์ของตนว่ามีการติดมัลแวร์ดังกล่าวหรือไม่ ซึ่งลักษณะของตัวสคริปท์นั้นมีดังนี้

rule gootkit_js_stage1

{

strings:

$a1 = /function .{4,60}{return .{1,20} % .{0,8}(.{1,20}+.{1,20});}/

$a2 = /function [w]{1,14}(.{1,14},.{1,50}) {return .{1,14}.substr(.{1,10},.{1,10});}/

$a3 = /function [w]{1,14}(.{1,50}) {return .{1,14}.length;.{1,4}}/

$a4 = /function [w]{1,14}(.{0,40}){.{0,40};while ([w]{1,20} < [23][d]{3}) {/

$b1 = /;WScript.Sleep([d]{4,10});/

$b2 = /function [w]{1,14}(.{0,40}) {.{0,40};while([w]{1,20}<([w]{1,14}*[d]{4,10}) {/

condition:

3 of ($a) and 1 of ($b)

}