web-dev-qa-db-ja.com

侵害されたWebサイトで複数のURLリダイレクトが行われることが多いのはなぜですか?

私のコース講師の講義から引用:

典型的なWeb攻撃の段階は次のとおりです。被害者は、侵害された正当なWebサイトにアクセスします。侵害されたWebサイトは、攻撃者によって制御される悪意のあるコードを実行している別のサイトに被害者をリダイレクトします。リダイレクトは、最初にさまざまな中間サーバーを通過する場合があります。

私も同じ問題に直面しました。トレントサイトにアクセスして、誤ってまたは意図的に一部のリンクをクリックすると、さまざまな中間サイトから別のサイトに移動します。なぜ最後のサイトに直接行くのではなく、数秒で多くのサイトを通過するのですか?攻撃者にとってのメリットは何ですか?

27
again

ここには実際には2つのケースがあります。

悪意のある広告を配信しているサイト( Malvertising

この場合、攻撃者はサイト自体を危険にさらすことはありませんが、ターゲット広告を悪用して、特定の機能(ブラウザー、OS、地理位置情報など)に基づいて被害者を選択し、攻撃します。ターゲットを絞った広告配信の仕組みにより、さまざまなサイト間で多くのリダイレクトが使用されます。つまり、リダイレクトの大部分はマルウェアの配信ではなく、通常の広告配信プロセスの一部です。詳細については、例 リアルタイム広告配信の仕組み を参照してください。以下の2番目のケースで説明したのと同じ理由で、最終段階でマルウェア固有のリダイレクトがいくつか発生する場合があります。

攻撃者によって侵害されたサイト

この場合、訪問したサイトは攻撃者によって侵害されています。攻撃者は通常、次の理由により、侵害されたサイトに最小限のリダイレクトのみを行います。

  • 検出が難しい
    一部のリダイレクトコードのみがインストールされていて悪意のあるペイロードがインストールされていない場合、侵害が所有者によって検出されないままになる可能性が高くなります。
  • マルウェアを研究者から保護します
    マルウェアは攻撃者にとって貴重です。あるセキュリティ会社が侵害されたサイトをクリーニングするときにすべての悪意のあるコードを手に入れ、それを分析して顧客に保護を追加し、マルウェアの価値を急激に低下させた場合。
  • マルウェアの更新における柔軟性の向上
    マルウェアがセキュリティシステムによって検出された場合、攻撃者は次のバージョンをインストールする必要があります。また、マルウェアは攻撃者自身が所有していない可能性がありますが、ある攻撃者は被害者を(常に最新の)開発およびホストしている別の攻撃者にリダイレクトする可能性があります。両方の攻撃者が利益を共有します(つまり、フランチャイズの一種)。
  • 削除に対する保護
    リダイレクトを使用することにより、攻撃者は削除やブラックリストに対してより堅牢な、より柔軟なインフラストラクチャを構築できます。
31
Steffen Ullrich

攻撃者が検出を回避するために使用する一般的な手法は、一連のWebリダイレクトを使用して、マルウェアのダウンロード元からソースを難読化することです。攻撃者は正当な「302 Found」応答を使用して一連のWebリダイレクトを作成してから、被害者のブラウザーが被害者のマシンにエクスプロイトを配信するページに最終的にリダイレクトされます。これらの中間Webサイトは、ゲートとも呼ばれます。これらのゲートのURLは、30分ごとなどに頻繁に変更され、意味のある攻撃分析を行うのに十分な情報を収集する時間をセキュリティ研究者から奪います。ゲートを使用すると、レイヤーが追加され、マルウェアのソースを特定することが困難になります。また、HTTP 302リダイレクトを使用すると、非表示のiFrameまたは外部スクリプトと比較して疑いが生じる可能性が低いため、iFrameまたは外部スクリプトの必要性がなくなります。

攻撃者の主な目標は、iFrameとHTTP 302のどちらの緩衝機能を使用する場合でも、被害者のWebブラウザが攻撃者のWebページに到達し、被害者に悪意のあるエクスプロイトを仕掛けることです。

9
again

戻るボタンを使用できないようになっていると思います。戻るをクリックすると、1つのサイトに戻り、すぐに転送先にリダイレクトされます。

5
Douglas Leeder