近年來，越來越多的惡意攻擊者盯上了各大社交媒體。這些社交平臺(tái)由于使用便捷、可擴(kuò)展性強(qiáng)、自動(dòng)化程度高，受眾面廣泛等特性，為攻擊者發(fā)起僵尸網(wǎng)絡(luò)攻擊提供了得天獨(dú)厚的條件。
這里的僵尸網(wǎng)絡(luò)指的是由中央控制臺(tái)控制的社交平臺(tái)賬戶集合。這些賬戶均由機(jī)器控制，而非真實(shí)人類所有。這些機(jī)器賬戶能夠形成僵尸網(wǎng)絡(luò)，發(fā)送惡意鏈接，例如釣魚廣告、惡意軟件、勒索軟件、欺詐調(diào)查、垃圾郵件、對(duì)受害者賬戶進(jìn)行劫持控制的惡意應(yīng)用程序以及點(diǎn)擊即收費(fèi)的垃圾郵件網(wǎng)站等等。
自今年2月起，ZeroFOX威脅研究團(tuán)隊(duì)調(diào)查了一個(gè)Twitter上名為SIREN的大型垃圾郵件色情僵尸網(wǎng)絡(luò)。該僵尸網(wǎng)絡(luò)名為SIREN(起源于希臘神話中用美妙歌聲讓水手迷失方向的海妖塞壬)，約包含9萬多個(gè)偽造的推特賬號(hào)，共計(jì)發(fā)布了850萬條含有惡意鏈接的推文，在數(shù)周內(nèi)誘使網(wǎng)友進(jìn)行了3000萬次惡意點(diǎn)擊。
本文將ZeroFOX威脅研究團(tuán)隊(duì)發(fā)現(xiàn)的SIREN僵尸網(wǎng)絡(luò)與Brian Krebs最近在KrebsOnSecurity披露的大型垃圾郵件僵尸網(wǎng)絡(luò)聯(lián)系在一起。兩者使用的策略相似，即將受害者引誘到同一網(wǎng)絡(luò)下的色情網(wǎng)站。
SIREN僵尸網(wǎng)絡(luò)是社交平臺(tái)歷史上規(guī)模最大的惡意活動(dòng)之一。曾經(jīng)發(fā)現(xiàn)過的達(dá)到這個(gè)數(shù)量的僵尸網(wǎng)絡(luò)一般不帶惡意攻擊性，例如大量生成“星球大戰(zhàn)”報(bào)價(jià)。但是，這次的SIREN卻明顯違反了Twitter的“服務(wù)條款”。
主要發(fā)現(xiàn)
1. SIREN是一個(gè)龐大的Twitter僵尸網(wǎng)絡(luò)，比社交平臺(tái)上的其它大型僵尸網(wǎng)絡(luò)危害程度都要高；近9萬個(gè)獨(dú)立賬戶，發(fā)布推文達(dá)850萬條。
2. SIREN波及范圍廣，點(diǎn)擊量已達(dá)到3000萬次。之所以能夠獲得這個(gè)數(shù)據(jù)是因?yàn)樵摻┦�網(wǎng)絡(luò)使用的是可追蹤的谷歌短網(wǎng)址。
3. SIREN說明了對(duì)社交網(wǎng)絡(luò)進(jìn)行規(guī)模化編程的必要性。
4. 發(fā)起SIREN僵尸網(wǎng)絡(luò)的攻擊者可能來自東歐。
5. 虛假的交友約會(huì)網(wǎng)站和色情網(wǎng)站市場龐大，為SIREN這樣的spammer制造了大量機(jī)會(huì)。ZeroFOX與KrebsOnSecurity合作調(diào)查了色情垃圾網(wǎng)站和其營銷網(wǎng)絡(luò)的源頭。由ZeroFOX發(fā)現(xiàn)的Twitter僵尸網(wǎng)絡(luò)和Krebs研究的郵件僵尸網(wǎng)絡(luò)兩者的最終目標(biāo)相同，并且指向同一網(wǎng)絡(luò)中的色情網(wǎng)站鏈接。
6. ZeroFOX分別向Twitter和Google的安全團(tuán)隊(duì)報(bào)告了這一重大發(fā)現(xiàn)，他們迅速刪除了違規(guī)的帳戶和鏈接，全面搗毀SIREN僵尸網(wǎng)絡(luò)。
關(guān)于SIREN
SIREN僵尸網(wǎng)絡(luò)利用由算法生成的Twitter帳戶所形成的龐大網(wǎng)絡(luò)來發(fā)布一個(gè)有效的URL，該URL會(huì)將網(wǎng)頁重定向至很多色情網(wǎng)站。近9萬賬戶都使用誘人的女性圖片做頭像，以及一個(gè)女性名字作為賬戶名（如下圖）。這些機(jī)器人賬戶會(huì)通過直接轉(zhuǎn)發(fā)受害者推文等方式來引誘他們落入圈套。

SIREN僵尸賬戶示例（個(gè)人資料中就加上了惡意鏈接）
這些賬戶發(fā)布的推文往往用不標(biāo)準(zhǔn)的英語描述色情信息，誘使目標(biāo)對(duì)象點(diǎn)擊鏈接，比如“你想見我嗎？”或者“來吧，不要害羞”。
98.2%僵尸賬戶的推文結(jié)構(gòu)都有相似性：
1. 一個(gè)性暗示的短句（第一部分）
2. 一個(gè)感嘆號(hào)
3. 引誘用戶點(diǎn)擊URL的社會(huì)工程學(xué)短句（第二部分）
4. 谷歌短網(wǎng)址
第一個(gè)詞有26種選擇，但第二個(gè)詞只有8種。具體短語的發(fā)布時(shí)間也存在一定規(guī)律，短時(shí)間內(nèi)不同層級(jí)的短語發(fā)布頻率相似（如下圖）。




第一部分和第二部分的內(nèi)容重復(fù)率很高。圖3紅框標(biāo)注了推特內(nèi)容的4大組成部分。一天內(nèi)記錄的10大發(fā)布頻率最高的短句可以歸類為3層，每層短句出現(xiàn)頻率非常接近。
目標(biāo)網(wǎng)址偽裝
一旦目標(biāo)對(duì)象點(diǎn)擊鏈接，該用戶就會(huì)碰到一系列的重定向，具體過程如下：
1. 用戶點(diǎn)擊推文上的鏈接
2. 這些鏈接會(huì)轉(zhuǎn)到Twitter的t.co服務(wù)中
3. t.co重定向至goo.gl——Google的短網(wǎng)址（見下圖）
4. goo.gl再重定向至“rotator（旋轉(zhuǎn)器）”網(wǎng)站。該旋轉(zhuǎn)器從goo.gl重定向中獲取連接，并通過簡單的用戶代理檢查對(duì)用戶再次進(jìn)行重定向。如果請(qǐng)求來自Python的請(qǐng)求庫或cURL這樣的自動(dòng)化程序，則將連接重定向到Twitter或Google
5. 一旦旋轉(zhuǎn)器將用戶視為“合法”，它將通過另一個(gè)重定向發(fā)送到最終的目的URL
這些重定向有多種用途：
1. 混淆這些鏈接的最終目的地，避免反垃圾郵件服務(wù)，如Twitter的鏈接和谷歌短網(wǎng)址。
2. 偽裝目標(biāo)鏈接，并利用用戶對(duì)Google和Twitter域名的信任，誘使目標(biāo)用戶點(diǎn)擊鏈接。
3. 創(chuàng)建重定向的基礎(chǔ)結(jié)構(gòu)，如果其中一個(gè)鏈接被刪除，則快速添加另一個(gè)鏈接繼續(xù)操作。

對(duì)某個(gè)谷歌短網(wǎng)址的點(diǎn)擊量統(tǒng)計(jì)

在所有374208個(gè)谷歌短網(wǎng)址中，出現(xiàn)頻率最高的是t.co
SIREN的最終目的及與垃圾郵件僵尸網(wǎng)絡(luò)的關(guān)系