اخیراً گروهی از جرایم سایبری چینی اقدام به راهاندازی یک کمپین SEO manipulation جهانی کردهاند که در آن از vulnerable IIS servers جهت استقرار web shell و دستکاری نتایج گوگل استفاده شده است. این مقاله از سلام دیجی روند حمله، ابزارهای مورد استفاده، پیامدها و راهکارهای مقابله را بررسی میکند.
SEO poisoning چیست؟
SEO Poisoning یا «مسمومسازی سئو» یک تکنیک فریبندهی سایبری است که در آن مهاجمان با سوءاستفاده از Search Engine Optimization (SEO)، نتایج موتورهای جستوجو را دستکاری میکنند تا لینکهای مخرب در رتبههای بالای Google یا Bing ظاهر شوند. هدف اصلی، فریب کاربران برای کلیک روی وبسایتهای آلوده است که اغلب حاوی malware، web shell، phishing page یا redirect به سایتهای مخرب دیگر هستند. این روش خطرناک است، زیرا کاربران بدون هیچ نشانه ظاهری از خطر، به سایتهایی مراجعه میکنند که در واقع بخشی از یک کمپین نفوذ سازمانیافته محسوب میشوند. در حملات اخیر گروههای چینی مانند GoldFactory یا Earth Lusca نیز از SEO poisoning برای جذب قربانیان در سطح جهانی استفاده شده است.
گزارش های اخیر نشان میدهد که گروهی با نام UAT-8099 این تاکتیک را در سطح جهانی به کمک سرورهای IIS آسیبپذیر اجرا کردهاند. از سوی دیگر، کمپینهای مشابه مانند DragonRank نیز نشان دادهاند که مهاجمان از ترکیب Web Shell و بدافزارهایی مثل BadIIS به منظور بهبود رتبه سایتهای موردنظر خود در موتور جستجو بهره میبرند.
در ادامه، ابتدا روند فنی حمله را بازخوانی میکنیم، سپس ابزارها، پیامدها و راهکارهای مقابله را بررسی مینماییم.
روند فنی حمله
- شناسایی سرورهای آسیبپذیر IIS
مهاجمان ابتدا به جستجوی سرورهای IIS با پیکربندی ضعیف یا نسخههای قدیمی میپردازند که امکان استقرار کد دلخواه را دارند. - استفاده از Web Shell برای نفوذ اولیه
پس از یافتن سرور آسیبپذیر، با استفاده از web shell (اسکریپتهایی که امکان اجرای دستورات سیستم را فراهم میکنند) کنترل سرور به دست گرفته میشود. - تعمیق نفوذ و حفظ دسترسی (Persistence)
ابزارهایی مانند Cobalt Strike و بدافزارهای نظیر BadIIS بر روی سرور نصب میشوند تا مهاجمان بتوانند به صورت پیچیدهتر و پنهان باقی بمانند. - کاوش و استخراج دادهها
مهاجمان با استفاده از ابزارهایی مانند Everything tool به دنبال فایلها و دادههای حساس بر روی سرور میگردند تا آنها را استخراج کنند. - دستکاری محتوا برای موتورهای جستجو
محتوای نمایش داده شده به خزندههای گوگل (یا موتور جستجو) دستکاری میشود تا رتبه برخی سایتها افزایش یابد – در حالی که کاربر نهایی ممکن است محتوای طبیعی ببیند. - استفاده از سرور به عنوان واسطه (Proxy / Relay)
سرور آسیبدیده ممکن است به عنوان یک نقطه واسطه برای ارتباطات مخفی بین مهاجمان و قربانیان یا زیرساختهای مخفی آنها استفاده شود.
ابزارها و مؤلفههای کلیدی حمله
✔️Web Shells — راه ورود و اجرای دستورات ناخواسته.
✔️BadIIS malware — بدافزاری که برای دستکاری SEO و ترافیک طراحی شده است.
✔️Cobalt Strike — ابزار Post-Exploitation برای حفظ دسترسی و اجرای دستورات پیشرفته.
✔️Everything tool — نرمافزاری برای جستجوی سریع فایلها در سیستم Windows.
✔️تکنیکهای SEO poisoning — دستکاری نتایج موتور جستجو برای افزایش رتبه سایت موردنظر.
✔️راهکار Black-Hat SEO مانند DragonRank — ترکیب web shell با تکنیکهای SEO برای اهداف تبلیغاتی یا سودجویی.
همچنین در مقالات علمی جدید، تکنیکهایی مانند Reflected Search Poisoning (RSP) معرفی شدهاند که امکان استفاده از سایتهای با رتبه بالا برای تزریق متنهای تبلیغاتی غیرقانونی را فراهم میآورند.
پیامدها و ریسکها
✔️دزدیده شدن دادههای حساس : از حسابهای کاربری تا فایلهای پیکربندی و اسناد محرمانه.
✔️آسیب به برند و اعتبار: وقتی وبسایت شما به عنوان واسطهای برای مقاصد مخرب عمل میکند، اعتماد مشتریان کاهش مییابد.
✔️سوءاستفاده در SEO و تبلیغات: مهاجمان میتوانند رتبه سایتهای خاصی را دستکاری کنند و درآمد تبلیغاتی کسب کنند.
✔️مسائل حقوقی و رعایت مقررات : استفاده از سایت شما برای فعالیتهای مخرب ممکن است تبعات قانونی داشته باشد.
✔️عملکرد سرور و فضای منابع : حضور بدافزار و ترافیک اضافی ممکن است منابع سرور را درگیر کند و عملکرد را کاهش دهد.
پیشگیری و تقویت امنیت
بروز رسانی مرتب سرویس IIS و سیستمعامل
پیادهسازی Web Application Firewall (WAF)
سختسازی تنظیمات آپلود فایل و محدود کردن پسوندهای مجاز
شناسایی و تشخیص (Detection & Hunting)
EDR / Endpoint Protection — تشخیص رفتارمحور (Behavioral Detection)
قابلیتهای لازم: فرآیند مانیتورینگ (process monitoring)، انالیز parent/child، ایجاد هشدار در صورت اجرای دستورات shell از فرایندهای وبسرور.
Indicative behaviorsکه باید هشدار دهند: اجرای cmd.exe/powershell.exe از پروسس وب، بارگذاری DLL غیرمعمول در پروسس وب، ارتباطات شبکهای خروجی (outbound) از فرایند وب به پورت/آیپیهای ناشناس.
✔️توصیه عملی: فعالسازی EDR rules برای «Process injection», «suspicious child process spawn» و «unusual network callbacks» و نگاشت آنها به playbook های SOAR
YARA rules — شناسایی static/heuristic برای web-shell
استفاده از YARA برای اسکن کدهای PHP/ASP/ASPX/JSP با الگوهای متداول: base64_decode, eval, preg_replace.*\/e, exec\(, CreateObject\("Wscript\.Shell"\)، رشتههای طولانی base64 و الگوهای obfuscation.
File Integrity Monitoring (FIM) — شناسایی تغییرات در webroot
پیادهسازی FIM (مثل Wazuh, Tripwire) با موارد زیر: هش (SHA256) baseline، مقایسه مجوزها (permission drift)، timestamp changes و مالک فایل.
سیاست پیشنهادی: هشگیری هفتگی + real-time watch برای دایرکتوریهای حساس /var/www, C:\inetpub\wwwroot و trigger برای فایلهای با timestamp جدید و exec permissions.
✔️هشدارها: ایجاد فایلهای جدید با extensionهای غیرمعمول مثلاً .php5, .phtml, .aspx یا تغییرات در فایلهای قالب/Config
لاگآنالیز وبسرور — Hunting در IIS logs (HTTP)
شاخصهای لازم برای جستجو در لاگها (IIS, Nginx, Apache) :
✔️درخواستهای POST با حجم بالای payload یا محتواهای حاوی <?php, base64, cmd=.
✔️درخواست به فایلهای تازه ایجاد شده یا با نامهای عجیب.
User-Agent ✔️های غیرمعمول یا تکرار درخواستهای کوتاه با همان IP (automation)
مانیتور کردن ارتباطات خروجی (Outbound) — شبکه و NDR
شناسایی الگوها: ارتباط پروسس وب به آدرسهای خارجی ناشناس، اتصالات بلندمدت (persistent connections) به پورتهای غیرمرسوم، DNS requests با الگوهای دادهدار (DNS tunneling).
ابزار پیشنهادی: Zeek (Bro) + Suricata برای کشف C2 patterns. تنظیم signature/alert برای الگوهای HTTP POST با User-Agent مشکوک و Host header mismatch.
✔️نمونه: Suricata/IDS indicator هشدار برای http.request.uri شامل cmd=, shell=, یا header X- غیرمعمول.
ترکیب telemetry و انطباق روی SIEM / Threat Intelligence
تلفیق سیگنالها: EDR alerts + FIM changes + IIS log anomalies + Network callbacks هشدار با سطح بالاتر (High-confidence)
Enrichment : خودکار کردن lookup آیپیها/دامنهها در DBهای TI، reverse DNS، passive DNS و WHOIS برای تصمیمگیری سریع.
Thresholding : برای کاهش false positives از scoring استفاده کنید.
حافظه/Forensics — شناسایی web shell در حافظه (fileless)
وقتی فایل web shell روی دیسک نیست: از جمعآوری تصویر حافظه استفاده کنید (Volatility, Rekall) و جستجو برای شواهدی مانند code injections، network sockets باز از پروسسهای وب یا رشتههای base64 در حافظه.
✔️نمونه پلاگینها: pslist, netscan, cmdline, malfind در Volatility برای یافتن پروسسهای تزریقشده.
Hunting Playbooks و شاخصهای رفتاری (IOCs & TTPs)
✔️ایجاد playbook شکار (hunting) با مراحل:
- جستجوی فایلهای جدید/تغییر یافته در webroot (FIM) .
- تطبیق با YARA rules
- تحلیل لاگهای HTTP برای POST/PUT مشکوک.
- بررسی EDR برای child processes یا network callbacks
- در صورت تطابق، ایزولهسازی، imageگیری و آغاز IR
✔️مستندسازی TTPها با استفاده از MITRE ATT&CK mapping
پاسخ و پاکسازی
✔️ایزولهسازی سرور مشکوک
✔️تهیه تصویر (snapshot / forensic image) از دیسک و حافظه
✔️حذف persistence، بازنشانی credentialها
✔️بازسازی از نسخههای سالم و پاکسازی کامل
✔️بررسی انتشار lateral movement در شبکه
راهکار بلندمدت
✔️آموزش کارکنان در زمینه Phishing و Social Engineering
✔️توسعه SIEM / SOAR برای تحلیل و پاسخ خودکار
✔️انجام تست نفوذ و بررسی استراتژی SEO سایت (اطمینان از عدم سوءاستفاده)
✔️تدوین سیاستهای امنیتی قوی برای مدیریت محتوا و افزونهها
نتیجهگیری
کمپین اخیر نشان میدهد که مهاجمان سایبری در حال فراتر رفتن از روشهای سنتی نفوذ هستند و برای مقاصد مالی از زیرساختهای آسیبدیده به عنوان واسطه استفاده میکنند. ترکیب Web Shell و SEO Manipulation به آنها امکان میدهد تا هم داده بدزدند و هم رتبه سایتها را دستکاری کنند.
سازمانها باید نه فقط به ابعاد فنی بلکه به جنبههای تبلیغاتی و SEO محتوای خود نیز توجه کرده و استراتژیهای دفاعی را جامع و چندلایه طراحی کنند.
