Зачем кому-то нужно взламывать мой сайт? Монетизация уязвимостей в нелегальных схемах получения выгоды

«Зачем кому-то нужно взламывать мой сайт?» - самая распространенная реакция владельцев сайтов на вопрос об используемых защитных мерах.

К сожалению, ответ на этот вопрос безрадостен. Дело в том, что на теневом рынке информационной безопасности (то, что называется underground economy) сложились и давно работают несколько схем монетизации вредоносных действий. Одна из самых популярных схем, про которую было написано много литературы, называется CaaS (Crimeware as a Service) и связана с организацией ботнетов.

Почти все схемы так или иначе построены на использовании программных уязвимостей. Чтобы убедиться в возможности монетизации уязвимостей в веб-приложениях достаточно ввести в поисковой системе запрос вида «покупка веб шеллов». Таким образом, злоумышленники заинтересованы найти уязвимости на вашем сайте, которые можно успешно монетизировать. Как говорится, «ничего личного – просто бизнес».

Рассмотрим самые вероятные сценарии вовлечения легитимных сайтов в нелегальные схемы получения выгоды.

Создание дорвея

Злоумышленники находят уязвимости, позволяющие разместить на сервере свой модуль (к таким уязвимостям относятся в первую очередь возможность внедрения команд SQL, команд стандартного интерпретатора ОС и программного кода). Цель кода, внедренного на сервер – провести оптимизацию сайта под популярные в данный момент поисковые запросы, которые определяются, например, через сервис Google Trends. В результате, сайт попадает на первые страницы выдачи результатов поисковой системы по этим запросам. Посетители, однако, при переходе с результатов поиска будут сразу перенаправлены на другой, целевой сайт. Выручка злоумышленника обычно прямо пропорциональна количеству посетителей этого второго, целевого сайта. Таким образом, злоумышленник замотивирован создать как можно больше дорвеев, для чего и прибегает к поиску уязвимостей на простых, среднестатистических сайтах.

Распространение вредоносного программного обеспечения

Злоумышленники находят уязвимости, позволяющие разместить на сайте IFRAME с содержимым вредоносного сайта или сделать перенаправление на вредоносный сайт (к таким уязвимостям относятся в первую очередь XSS и возможность внедрения команд SQL). В результате, со страниц сайта начинает распространяться вредоносное программное обеспечение (ВПО), а по-простому – вирусы.

Согласно отчету Positive Technologies за 2009 год, практические все рассмотренные сайты, которые содержали позволяющие внедрить ВПО уязвимости, были инфицированы.

Получаемый ущерб

В заключение необходимо сказать об ущербе, который получит владелец сайта в итоге. В первом случае – это бан сайта в поисковой системе. Таким образом, количество заходов на сайт с поисковой системы будет равно нулю. Во втором случае, поисковые системы классифицируют сайт как “вредоносный”, о чем будут информировать потенциальных посетителей при отображении результатов поиска. Кроме того, посетители сайта, обладающие антивирусом, будут получать сообщения о вредоносном содержании страниц сайта с рекомендацией немедленно покинуть зараженный сайт.