利用機器學習協助識別網頁竄改(Web Defacement)

網頁竄改(web defacement) – 一種明顯改變網頁外觀的攻擊,特別在政治事件後會被駭客用來表達自己的政治立場。我們在進行許多研究時都會遇到。我們在之前的一篇文章裡探討了常見的網頁竄改活動,並在另一篇文章中強調了我們資安研究工具內的機器學習能夠協助電腦緊急應變小組(CERT/電腦資安事件應變小組(CSIRT)及網站管理員為此類攻擊做好準備。後者是出自我們最新報告「找出網頁竄改活動:使用DefPloreX-NG從竄改網頁取得深入了解」內的分析結果。在這裡我們會闡述為什麼機器學習能夠協助我們更好地分析理解駭客如何運作及組織起來。

利用DefPloreX-NG機器學習技術來幫忙

我們在2017年推出了DefPloreX,這是個可以用在大規模電子犯罪鑑識的機器學習(Machine Learning)工具。而今年,我們推出了DefPloreX-NG,這個版本整合了強化的機器學習演算法及新的視覺化範本。我們在最新的網頁竄改報告中實際地利用了DefPloreX-NG來分析19年來1,300萬份的網頁竄改記錄。資安分析師和研究人員也可以用它來即時識別正在進行的網頁竄改活動,甚至是新或未知的攻擊活動。增強且具備更多功能的工具組能夠更有效地從原始遭竄改網站過濾出可操作的情報。它可以自動識別和追蹤網頁竄改攻擊活動,為每起攻擊活動加上有意義的標籤。此外,它還可以更加輕鬆地排序和搜尋網站,像根據攻擊者或駭客組織、動機、內容或宣傳類型、頂級網域(TLD)、遭竄改網站類別(媒體等)等等標籤。這些很大程度地是經由機器學習的幫忙。

 

圖1、使用DefPloreX-NG自動分析遭竄改網頁

繼續閱讀

了解網頁竄改(Web Defacement)的動機和作法

突發事件會引發特定的網頁竄改(Web Defacement)攻擊;查理週刊總部槍擊案和對敘利亞阿勒坡的攻擊都引發一連串的網頁竄改活動。近 20年來網頁竄改的手法有何演進?

了解網頁竄改(Web Defacement)的動機和作法網頁竄改(Web Defacement)長久以來被攻擊者利用來駭入網站並進行破壞。這些攻擊者(被稱為Web Defacer)通常會將原本的網頁置換成自己的內容,大膽地去表達政治或社會訴求。這並不新,而是長期以來都有的現象。趨勢科技分析了近20年來的資料,可以看到進行網頁竄改的手法到目前都還在用。

之前的研究都專注在偵測這些攻擊,並沒有探討其背後的原因或動機。駭客主義者(Hacktivist)佔了其中一部分,他們利用網頁竄改來表達他們的訴求,不過Web Defacer可能有許多不同的動機。我們研究的重點在於會觸發網頁竄改的事件和攻擊者所用的方法。我們檢視來自世界各地多達1,300萬份的相關報告。利用機器學習收集、分析和關聯這些報告,以便更加深入了解網頁竄改的模式。

網頁竄改的原因

我們的研究顯示駭客進行網頁竄改往往是由於政治事件或衝突所造成,許多知名的網頁竄改活動都不是單一事件,而是有不同攻擊者發動和支持。

大部分的攻擊都跟近幾十年來的激烈政治衝突有關。突發事件會引發特定的網頁竄改攻擊;查理週刊總部槍擊案和對敘利亞阿勒坡的攻擊都引發一連串的網頁竄改活動。

在某些案例中,網頁竄改攻擊起因於邊界衝突或政治立場的對立。南海周邊的幾個國家現在正捲入領土爭議,Defacer也在網路上攻擊對方。被稱為“#OpIndia”的活動涉及印度與其鄰國孟加拉和巴基斯坦間的邊界糾紛,而“#OpIsrael”則是以色列和巴勒斯坦間爭議的現代表現方式,這爭議可追溯至四十年代。

網頁竄改的團體及其策略

進行網頁竄改的團體有很多種。通常都是本地駭客為了共同議題而進行,但有時候活動也可能變得國際化。這些團體利用社群媒體來相互溝通,取得支援、組織活動。他們也互相分享工具。有時候,他們會在進行網頁竄改時使用特定範本,這些都會傳送給支持者。

而且還不止於此。Defacer之間會分享駭客工具和教學影片,甚至是漏洞攻擊碼。他們的犯罪行為會趨於越來越升級。

Web Defacer的演進

目前多數的攻擊團體並不會從網頁竄改中獲利。不過隨著這些攻擊者不斷成功地攻擊網站,對任何駭客來說下一個階段都是為了可以從活動中獲利。這對獲得受駭網站存取能力的他們來說是很容易的。比方說他們可以被置換的網頁中進行惡意的重新導向或放置漏洞攻擊碼,以便在訪客電腦上安裝勒索病毒 Ransomware (勒索軟體/綁架病毒)。

進行網頁竄改的駭客很可能轉進到更為激烈,被利益驅動的活動。

 

請到這裡參考趨勢科技在這方面的研究。

 

@原文出處:Understanding Motivations and Methods of Web Defacement