تکنولوژی

کمپین Global SEO Manipulation با Web Shell روی IIS — تحلیل فنی، ریسک‌ها و راهکارها

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

اخیراً گروهی از جرایم سایبری چینی اقدام به راه‌اندازی یک کمپین SEO manipulation  جهانی کرده‌اند که در آن از vulnerable IIS servers  جهت استقرار web shell  و دستکاری نتایج گوگل استفاده شده است. این مقاله از سلام دیجی روند حمله، ابزارهای مورد استفاده، پیامدها و راهکارهای مقابله را بررسی می‌کند.

SEO poisoning   چیست؟

SEO Poisoning  یا «مسموم‌سازی سئو» یک تکنیک فریبنده‌ی سایبری است که در آن مهاجمان با سوءاستفاده از Search Engine Optimization (SEO)، نتایج موتورهای جست‌وجو را دست‌کاری می‌کنند تا لینک‌های مخرب در رتبه‌های بالای Google یا Bing ظاهر شوند. هدف اصلی، فریب کاربران برای کلیک روی وب‌سایت‌های آلوده است که اغلب حاوی malware، web shell، phishing page  یا redirect  به سایت‌های مخرب دیگر هستند. این روش خطرناک است، زیرا کاربران بدون هیچ نشانه ظاهری از خطر، به سایت‌هایی مراجعه می‌کنند که در واقع بخشی از یک کمپین  نفوذ سازمان‌یافته محسوب می‌شوند. در حملات اخیر گروه‌های چینی مانند GoldFactory  یا Earth Lusca  نیز از SEO poisoning برای جذب قربانیان در سطح جهانی استفاده شده است.


گزارش های اخیر نشان می‌دهد که گروهی با نام UAT-8099  این تاکتیک را در سطح جهانی به کمک سرورهای IIS آسیب‌پذیر اجرا کرده‌اند. از سوی دیگر، کمپین‌های مشابه مانند DragonRank  نیز نشان داده‌اند که مهاجمان از ترکیب Web Shell  و بدافزارهایی مثل BadIIS به منظور بهبود رتبه سایت‌های موردنظر خود در موتور جستجو بهره می‌برند.
در ادامه، ابتدا روند فنی حمله را بازخوانی می‌کنیم، سپس ابزارها، پیامدها و راهکارهای مقابله را بررسی می‌نماییم.

روند فنی حمله    

  1. شناسایی سرورهای آسیب‌پذیر IIS
    مهاجمان ابتدا به جستجوی سرورهای IIS با پیکربندی ضعیف یا نسخه‌های قدیمی می‌پردازند که امکان استقرار کد دلخواه را دارند.
  2. استفاده از Web Shell برای نفوذ اولیه
    پس از یافتن سرور آسیب‌پذیر، با استفاده از web shell (اسکریپت‌هایی که امکان اجرای دستورات سیستم را فراهم می‌کنند) کنترل سرور به دست گرفته می‌شود.
  3. تعمیق نفوذ و حفظ دسترسی (Persistence)
    ابزارهایی مانند Cobalt Strike و بدافزارهای نظیر BadIIS  بر روی سرور نصب می‌شوند تا مهاجمان بتوانند به صورت پیچیده‌تر و پنهان باقی بمانند.
  4. کاوش و استخراج داده‌ها
    مهاجمان با استفاده از ابزارهایی مانند Everything tool  به دنبال فایل‌ها و داده‌های حساس بر روی سرور می‌گردند تا آن‌ها را استخراج کنند.
  5. دستکاری محتوا برای موتورهای جستجو
    محتوای نمایش داده شده به خزنده‌های گوگل (یا موتور جستجو) دستکاری می‌شود تا رتبه برخی سایت‌ها افزایش یابد – در حالی که کاربر نهایی ممکن است محتوای طبیعی ببیند.
  6. استفاده از سرور به عنوان واسطه (Proxy / Relay)
    سرور آسیب‌دیده ممکن است به عنوان یک نقطه واسطه برای ارتباطات مخفی بین مهاجمان و قربانیان یا زیرساخت‌های مخفی آن‌ها استفاده شود.

ابزارها و مؤلفه‌های کلیدی حمله

✔️Web Shells  — راه ورود و اجرای دستورات ناخواسته.

✔️BadIIS malware  — بدافزاری که برای دستکاری SEO و ترافیک طراحی شده است.

✔️Cobalt Strike  ابزار Post-Exploitation برای حفظ دسترسی و اجرای دستورات پیشرفته.

✔️Everything tool  نرم‌افزاری برای جستجوی سریع فایل‌ها در سیستم Windows.

✔️تکنیک‌های SEO poisoning  دستکاری نتایج موتور جستجو برای افزایش رتبه سایت موردنظر.

✔️راهکار Black-Hat SEO مانند  DragonRank  — ترکیب web shell با تکنیک‌های SEO برای اهداف تبلیغاتی یا سودجویی.

همچنین در مقالات علمی جدید، تکنیک‌هایی مانند Reflected Search Poisoning (RSP)  معرفی شده‌اند که امکان استفاده از سایت‌های با رتبه بالا برای تزریق متن‌های تبلیغاتی غیرقانونی را فراهم می‌آورند.

پیامدها و ریسک‌ها

✔️دزدیده شدن داده‌های حساس : از حساب‌های کاربری تا فایل‌های پیکربندی و اسناد محرمانه.

✔️آسیب به برند و اعتبار: وقتی وب‌سایت شما به عنوان واسطه‌ای برای مقاصد مخرب عمل می‌کند، اعتماد مشتریان کاهش می‌یابد.

✔️سوءاستفاده در SEO و تبلیغات: مهاجمان می‌توانند رتبه سایت‌های خاصی را دستکاری کنند و درآمد تبلیغاتی کسب کنند.

✔️مسائل حقوقی و رعایت مقررات : استفاده از سایت شما برای فعالیت‌های مخرب ممکن است تبعات قانونی داشته باشد.

✔️عملکرد سرور و فضای منابع : حضور بدافزار و ترافیک اضافی ممکن است منابع سرور را درگیر کند و عملکرد را کاهش دهد.

پیشگیری و تقویت امنیت

بروز رسانی مرتب سرویس IIS و سیستم‌عامل

پیاده‌سازی Web Application Firewall (WAF)

سخت‌سازی تنظیمات آپلود فایل و محدود کردن پسوندهای مجاز

شناسایی و تشخیص (Detection & Hunting)  

 EDR / Endpoint Protection  تشخیص رفتارمحور (Behavioral Detection)

قابلیت‌های لازم: فرآیند مانیتورینگ (process monitoring)، انالیز parent/child، ایجاد هشدار در صورت اجرای دستورات shell از فرایندهای وب‌سرور.

Indicative behaviorsکه باید هشدار دهند: اجرای cmd.exe/powershell.exe از پروسس وب، بارگذاری DLL غیرمعمول در پروسس وب، ارتباطات شبکه‌ای خروجی (outbound) از فرایند وب به پورت/آی‌پی‌های ناشناس.

✔️توصیه عملی: فعال‌سازی EDR rules برای «Process injection», «suspicious child process spawn» و «unusual network callbacks» و نگاشت آن‌ها به playbook های SOAR

YARA rules  — شناسایی static/heuristic برای web-shell

استفاده از YARA برای اسکن کدهای PHP/ASP/ASPX/JSP با الگوهای متداول: base64_decode, eval, preg_replace.*\/e, exec\(, CreateObject\("Wscript\.Shell"\)، رشته‌های طولانی base64 و الگوهای obfuscation.

File Integrity Monitoring (FIM)  شناسایی تغییرات در webroot

پیاده‌سازی FIM (مثل Wazuh, Tripwire) با موارد زیر: هش (SHA256) baseline، مقایسه مجوزها (permission drift)، timestamp changes و مالک فایل.

سیاست پیشنهادی: هش‌گیری هفتگی + real-time watch برای دایرکتوری‌های حساس /var/www, C:\inetpub\wwwroot و trigger برای فایل‌های با timestamp جدید و exec permissions.

✔️هشدارها: ایجاد فایل‌های جدید با extension‌های غیرمعمول مثلاً .php5, .phtml, .aspx یا تغییرات در فایل‌های قالب/Config

لاگ‌آنالیز وب‌سرور  Hunting در IIS logs (HTTP)

 شاخص‌های لازم برای جستجو در لاگ‌ها (IIS, Nginx, Apache) :

✔️درخواست‌های POST با حجم بالای payload یا محتواهای حاوی <?php, base64, cmd=.

✔️درخواست به فایل‌های تازه ایجاد شده یا با نام‌های عجیب.

User-Agent ✔️های غیرمعمول یا تکرار درخواست‌های کوتاه با همان IP (automation)

مانیتور کردن ارتباطات خروجی (Outbound)  — شبکه و NDR

شناسایی الگوها: ارتباط پروسس وب به آدرس‌های خارجی ناشناس، اتصالات بلندمدت (persistent connections) به پورت‌های غیرمرسوم، DNS requests با الگوهای داده‌دار (DNS tunneling).

ابزار پیشنهادی: Zeek (Bro) + Suricata برای کشف C2 patterns. تنظیم signature/alert برای الگوهای HTTP POST با User-Agent مشکوک و Host header mismatch.

✔️نمونه:  Suricata/IDS indicator هشدار برای http.request.uri شامل cmd=, shell=, یا header X- غیرمعمول.

ترکیب telemetry و انطباق روی SIEM / Threat Intelligence

تلفیق سیگنال‌ها:  EDR alerts + FIM changes + IIS log anomalies + Network callbacks  هشدار با سطح بالاتر (High-confidence)

Enrichment : خودکار کردن lookup آی‌پی‌ها/دامنه‌ها در DB‌های TI، reverse DNS، passive DNS و WHOIS برای تصمیم‌گیری سریع.

Thresholding : برای کاهش false positives از scoring استفاده کنید.

حافظه/Forensics  — شناسایی web shell در حافظه (fileless)

وقتی فایل web shell روی دیسک نیست: از جمع‌آوری تصویر حافظه استفاده کنید (Volatility, Rekall) و جستجو برای شواهدی مانند code injections، network sockets باز از پروسس‌های وب یا رشته‌های base64 در حافظه.

✔️نمونه پلاگین‌ها:  pslist, netscan, cmdline, malfind  در Volatility برای یافتن پروسس‌های تزریق‌شده.

Hunting Playbooks و شاخص‌های رفتاری (IOCs & TTPs)

✔️ایجاد playbook شکار (hunting) با مراحل:

  1. جستجوی فایل‌های جدید/تغییر یافته در webroot (FIM) .
  2. تطبیق با YARA rules 
  3. تحلیل لاگهای HTTP برای POST/PUT مشکوک.
  4. بررسی EDR برای child processes یا network callbacks 
  5. در صورت تطابق، ایزوله‌سازی، image‌گیری و آغاز IR

✔️مستندسازی TTPها با استفاده از MITRE ATT&CK mapping

پاسخ و پاک‌سازی

✔️ایزوله‌سازی سرور مشکوک

✔️تهیه تصویر (snapshot / forensic image) از دیسک و حافظه

✔️حذف persistence، بازنشانی credentialها

✔️بازسازی از نسخه‌های سالم و پاک‌سازی کامل

✔️بررسی انتشار lateral movement در شبکه

راهکار بلندمدت

✔️آموزش کارکنان در زمینه Phishing  و Social Engineering

✔️توسعه SIEM / SOAR  برای تحلیل و پاسخ خودکار

✔️انجام تست نفوذ و بررسی استراتژی SEO سایت (اطمینان از عدم سوءاستفاده)

✔️تدوین سیاست‌های امنیتی قوی برای مدیریت محتوا و افزونه‌ها

نتیجه‌گیری

کمپین اخیر نشان می‌دهد که مهاجمان سایبری در حال فراتر رفتن از روش‌های سنتی نفوذ هستند و برای مقاصد مالی از زیرساخت‌های آسیب‌دیده به عنوان واسطه استفاده می‌کنند. ترکیب Web Shell و SEO Manipulation  به آن‌ها امکان می‌دهد تا هم داده بدزدند و هم رتبه سایت‌ها را دستکاری کنند.
سازمان‌ها باید نه فقط به ابعاد فنی بلکه به جنبه‌های تبلیغاتی و SEO محتوای خود نیز توجه کرده و استراتژی‌های دفاعی را جامع و چندلایه طراحی کنند.

 

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد