每逢世界杯期间,各类体育足球博彩网站、投注APP就开始活跃起来。近日,通过分析微步在线网络空间测绘系统的数据时我们关注到2022卡塔尔世界杯的体育竞技类赌球网站数量急剧上升。而根据相关研究显示,有79%的参与非法赌博的人士是通过赌博网站进行投注,随着推广建站技术的日益成熟,这些站点也更容易触达我们用户。针对这些站点微步在线的情报分析人员进行了深度分析和跟踪,其中就包括了:2022世界杯博彩的站点推广时间线、相关的主要推广平台、一些惯用的检测规避推广手法、博彩域名的来源以及微步在线-X情报社区如何进行跟踪和发现。利用空间测绘的指纹进行分析实时跟踪发现,目前各大赌博集团的世界杯赌博网站推广手法已转化为检测规则并在微步网络空间系统上上线并与微步在线产品OneDNS联动实现实时拦截世界杯相关非法赌博网站。 近期2022世界杯赌球站点的现状
微步在线网络空间测绘系统的统计分析,随着2022卡塔尔世界杯的进行赌博网站的变化呈现较大幅度的增长,而近期处于推广的一个顶峰。如下为近期一个月2022世界杯赌博站点的增长趋势统计图:![]()
从上图我们可以看出世界杯赌球站点从十月底开始持续布局,十一月开始数量逐步增多,于近期达到最高峰值。由此我们可知,世界杯赌博站点大部分在开幕之前一个月开始大量生产赌博网站;分析师分析世界杯赌球站点时发现这大部分是在克隆学校政府企业等网站之上再覆盖了一层赌博页面,通过“蹭”政府学校企业的站点搜索热度来进行SEO推广。我们再从这些主要的赌球站点的推广平台来进行分析,发现前三名推广平台为BOB,欧宝体育,澳门金沙总共占据所有推广平台站点数量80%以上份额。进一步结合网络空间测绘系统数据的区域属性分析后,大多数站点是位于运营商为鼎峰新汇香港科技有限公司的香港,该公司也是香港比较大的云服务和机器运营托管服务商。![]()
博彩行业无孔不入,已经完全渗透到普通老百姓的日常生活之中。博彩公司为了提升网站排名和知名度需要寻找相关平台进行推广,推广网站通过仿冒权重高的学校政府企业网站来提升在搜索引擎中的排名。我们尝试访问这些网站,发现经过多次重定向才跳转到了真正的博彩网站,这种操作应该是绕过搜索引擎的防毒警告。用户检索的大致流程如下:![]()
大家常用接触到的博彩都是通过搜索引擎,如下在百度搜索引擎中搜索XX-2022世界杯我们发现的大量世界杯赌博推广网站。![]()
![]()
同时推广网站会引入百度站长来统计访问量,通过推广Id就可以进行用户溯源。![]()
进一步分析发现这些推广网站源码中存在大量正常网站的代码,推广页面是由外部Js引入的Iframe标签嵌入到正常网站之上,通过Css布局遮盖正常站点。我们通过浏览器来隐藏这些Iframe标签,发现原站为某市区的政府网站;从这波操作可以看出“菠菜”网站通过仿冒权重高的政府网站来提升在搜索引擎中的排名。![]()
同时引入的恶意Js,手法通常为在原站中插入Script标签,并且Src链接名称会伪装成Js框架库。![]()
部分Js链接地址使用Html Ascii编码和Unicode编码。![]()
部分恶意Js代码采用变量方式拼接执行,从第三方网站再次引入Js。![]()
另一部分恶意Js代码内容直接采用十六进制编码进行隐藏。最终编码通过简单加密混淆的方式来绕过现存基于文本的内容检测。第三方Js通过变量拼接的方式最终写入Iframe覆盖仿冒的页面:![]()
世界杯赌博网站90%都是推广网站,基于以上分析我们可以从以下这几个方面提取推广网站的特征:4.引入Iframe的是第三方网站的Js且通常不会改变,可以用md5作为特征。通过对以上特征,我们可以在微步X社区-资产测绘上检索出同批次的大量站点:![]()
为了更好的吸引用户,这类的灰色站点往往都是以域名访问为主,域名之前有过ICP备案,但在备案到期后被快速的抢注,也印证了大部分赌博站点的推广人员会实时的监听到期的域名,进行自动化的页面生成高效的部署推广。结合X情报社区例子:yljfyl.com原本是河南某ICP备案过一个网站如下图:![]()
该站点于2022-11-15备案过期后,被恶意推广进行抢注。![]()
抢注后更改了解析的IP地址,经X情报查询解析定位到国外的服务器上。![]()
当前访问该服务器发现部署了2022世界杯赌博推广的网站。![]()
通过X情报社区查看该IP地址的历史测绘记录数据发现,该网站9月份还是一个色情站点,下图为X情报社区资产测绘-历史扫描记录:![]()
到了11月份2022世界杯临近,将站点内容变更为赌博站点并进行推广。![]()
通过X情报社区查询发现该IP地址反查的域名基本都是灰黑产推广网站。![]()
到此一个完整的2022世界杯赌博站点的推广手法跃然纸上,微步在线情报分析能完整的重现整个过程。 产品支持
1、X情报社区-资产测绘完全支持和满足该同类型资产的Hunting检索功能,如:基于网页Title信息、特征Hash、Icon图标、SSL证书、网页结构树等快速检索;如下图:![]()
2、微步在线产品OneDNS支持该类站点的实时拦截阻断,只需要在配置界面配置相应的拦截分类即可生效;![]()
回顾总结
回顾整个事件的分析和追踪过程,这类博彩站点的推广团伙花了很多的时间精力、金钱来实现推广手法的自动化运行,以更快速变换推广内容、实时抢注到期域名、多编码混淆恶意地址、优化SEO等手段将这些站点尽可能快的呈现在用户面前,羊毛出在羊身上,最终为团伙买单的还是我们自己,一旦深陷其中只会越陷越深最终给个人和家庭造成重大财产损失。致富千万条,安全第一条。赌博不参与,家和万事兴。
点击下方,关注我们
第一时间获取最新的威胁情报
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247498079&idx=1&sn=8a9df70e790c21d09c7c267ba1afb7a2&chksm=cfca9a4bf8bd135d47fe06e235c138eb1dba4655fd18410e42fac55bee95a255bdfde58ca119#rd
如有侵权请联系:admin#unsafe.sh