2018年度 上半年暗链监测分析报告

1.   报告概述

安恒数据大脑近期跟踪发现，国内站点暗链情况较为严重，据不完全检测统计发现，国内有超过5万站点已被植入暗链/黑链，其中企业由于体量巨大与安全能力较弱成为了重灾区，而近千起的政府、事业单位网站也沦陷为黑产牟利工具，其中县市区的站点占比在50%以上，是我国重要站点受害严重的群体。

由于暗链的植入是一个通过漏洞利用、后门植入、维护暗链的过程，网站的安全程度与管理员的维护情况直接相关，这些站点的沦陷也是由于安全能力与安全意识不到位引起。

暗链的猖獗很大程度上是由上游黑产暴利行业的推动，本次检测数据发现博彩已成为暗链的最大源头，其次为代孕、色情、私服游戏、开房记录查询这类无法公开宣传推广，需要通过暗链渠道提升搜索排行的黑灰产。

因此暗链不仅仅是单个站点安全问题，更是网络空间中的非法产业的滋生传播，影响网络空间和社会秩序的问题。

综上所述，暗链的治理需要我们进一步行动起来，一方面，网站运营单位需加大对暗链的安全认识程度，在安全加固、暗链清理、后门清查等方面进行全面的检查，加强日常的安全监测与管理；另一方面，行业主管单位与网络安全监管部门，需要进一步提升对网络空间黑灰产的治理，通过暗链的现象的监管与整改，切断其传播渠道与媒介。

2.   暗链成为影响网站安全的头号问题

2.1. 我国过万站点被植入暗链

2018年上半年，安恒数据大脑检测分析到全国约13万起暗链事件（以url为计数单位），共涉及约5.6万个网站，其中有95.93%的站点是企业站点，政府机关事业单位网站有1042个，占全部被植入暗链网站总数的1.85%，从被植入暗链网页的顶级域名分布来看，“com”占比最多，占总数的73.46%。

2.2.1 暗链网站的区域分布

从数据大脑收录的数据来看，全国共有56294个网站被植入暗链，如下图所示，31个省、直辖市及自治区中或多或少都存在暗链事件。各省网站暗链总数排名前五名的地区分别为广东（占比12.5%）、江苏（占比10.2%）、北京（占比9.6%）、上海（占比8.0%）、山东（占比7.9%），这五个省份的暗链网站的总数约为所有暗链网站总数的50%。

图2-1 各省网站现存暗链总数

2.2.2 暗链网站的行业分布

根据风暴中心对上述5.6万个被植入暗链网站进行单位/行业归类，共统计影响近14个不同行业/部门，其中企业站点为受攻击的重灾区，占全部被植入暗链网站总数的95.93%，企业站点安全水平能力较低，总体数量多，非常容易受到黑客攻击，植入暗链也难于被察觉，因此可长期有效。

其他非企业站点植入暗链情况分布如下：

图2-2 非企业行业被植入暗链网站行业占比图

2.2. 影响我国政府、事业等行业

根据安恒数据大脑分析，统计数据中被植入暗链的政府机关网站有215个，事业单位有827个。通过对我国这两类重要单位的行政等级进行分析，发现有明显的行政级别区分，如下图所示：

图2-3 事业单位被植入暗链网站省市县分布图

图2-4 政府单位被植入暗链网站省市县分布图

通过上图，可以很明显看出基本都是县市区的网站被植入暗链较多，占比过半，主要原因是，县市区的小网站更新频率低，往往几个月不会更新一次，甚至没人维护，而且事业单位或者政府网站通常比较稳定，较少出现没几天就消失不见的情况。

地方县市区的业务系统通常由当地小公司开发和运维，忽视安全问题，导致系统存在大量安全漏洞，容易被植入暗链。

2.3. 暗链网站被黑客重复利用，隐患重重

我们通过将暗链地址与威胁情报数据关联分析后，发现大量的暗链地址同时也是C2、钓鱼地址、放马地址、扫描主机、漏洞利用等被恶意利用地址。

图2-5 暗链地址与威胁情报关联结果部分截图

虽然暗链对网站本身没有什么实质性威胁，但是暗链的存在往往标志着该网站存在安全漏洞，所以带有暗链的网站往往更容易被反复入侵，重复利用。

3.   暗链的隐蔽性日趋多样化

3.1. 传统暗链形式较为单一

传统的暗链形式非常单一，暗链的实现原理很简单，如采用CSS样式设置以达到暗链不可见的目的，把黑链的display元素设置为none、把黑链的标签显示颜色调为和网页页面颜色一致、把黑链浮动或者定位在网页不可浏览到的位置等。

传统的黑客实施暗链的手法大同小异，此时暗链的“暗”在于它是隐藏在网页源代码中的，通过肉眼直接在页面上看不见的，但只要打开源码就可以看到链接内容。

3.2. 新型暗链植入与推广方式多样化

随着暗链的发展，搜索引擎也开始对传统暗链方法进行识别和打击，为了不被搜索引擎识别，各种花样植入方式也纷纷兴起：

1、搜索引擎识别：黑客通过在页面中加入搜索引擎判断，使得一般用户无法发现暗链。脚本能够识别是搜索引擎来访问网站还是用户来访问网站，当搜索引擎来访问网站的时候，就会跳转到暗链页面，当用户访问的时候又会跳转到另外一个页面。

图3-1 正常用户访问返回界面

图3-2 搜索引擎访问返回界面

2、对植入的暗链内容进行编码，这类不多见，可以让站长看源码时也不一定能快速发现；

图3-3 暗链页面

3、暗链内容随机呈现，可同时推广更多的暗链，也可不被快速察觉。

图3-3 随机暗链页面

其他的如寄生虫模板批量植入、关键词堆砌、桥页等形式，不难发现暗链的植入与推广方式也正在推陈出新，为了暗链能够长期潜伏与提高排名，不断地与站长，与搜索引擎进行“斗智斗勇”。

4.   暗链黑色产业发展成熟

4.1. 暗链产业多环节分工合作

暗链产业链有很多环节，或者说分上中下游，其中的每一个环节都有其利润所在，每个环节都有不同的分工和不同的利益分配。

“黑链产业链”里的上游可能是一些非法网站的拥有者，这些网站有很强的勾引性，出售的服务或者产品都是正常市场不被许可的，大多都是非法的或者禁止销售的产品，例如博彩色情等。

位于产业链中游是销赃平台，其中的“销售”人员，在网上做广告招揽“客户”。下图为某个网上黑链套餐标价：

图4-1某个网上黑链套餐标价

产业链的下游主要是执行产业部门，利用网站后门、网站权限等植入暗链，并对其进行维护；

图4-2 暗链黑产链上中下游分布

在这条产业链中，分工明确：有专人负责攻击各类型网站，有人负责收购各类网站的权限，有人负责每天检查暗链是否被删除，有人负责联系客户，有客户购买服务，甚至有人负责编写自动化挂暗链的程序并出售。主要工作流程如下：

1. 寻找网站漏洞，破解密码，侵入网站并植入“后门”或花钱购买黑客 工具 和网站“权限”并控制；
2. 网上做广告招揽“客户”；
3. 收取客户费用，登录网站“后门”，向被控制网站添加“黑链”代码并维护；
4. 搜索灰色关键词，“客户”的排名靠前。

4.2. 非法暴利行业推动黑链产业发展

本次统计了植入暗链的内容，从被植入的暗链关键字词云可以看出，暗链指向的网站绝大多数是博彩、色情、游戏私服、代孕、虚假医疗甚至开房记录查询等灰色暴利产业，这些产业不太可能以正式方式获得流量。首先，搜索引擎会降级这些网站；其次，广告网络不敢接受这种广告的放置。因此，许多网站将通过暗链方式以获得地下流量。这些黑灰产业背后就蕴藏着巨大的经济利益，推动了暗链产业链的形成和发展，而暗链又称为了黑色产业传播的重要媒介。

图4-3 被植入的暗链关键字统计词云

下图为某网站被植入博彩暗链详情：

图4-4 被植入的博彩暗链网站示例

2017年曾报道合肥非法控制计算机信息系统案，3人黑客团伙控制四百网站挂灰色广告业务“黑链”，仅仅3个月牟利10万元。这仅是小团体犯案，成型的黑链产业获利更是无法估量。

4.3. 不同暗链黑产组织间存在利益冲突

挂暗链所使用的网站来源有两种：一种是黑客自己动手，攻击网站挂暗链；还有一种是收购其他黑客的权限。有时一个网站同时被多路黑客盯上，在页面中可以看到多组暗链链接，甚至代码中存在“删我链接，我删整站”、“各挂各的，和平共赢”等字样，警告其他黑客不要删除自己的链接，由此可以看出不同“暗链”集团间也存在利益冲突。如下图所示：

图4-5 黑产暗链之间的竞争

4.4. 网站用户的忽视或默许纵容发展

如今，网站暗链事件虽然比比皆是，但对于大部分网站来说，暗链和普通超链接没有太大的不同，只是这些超链接在网页页面上是“不可见”的，且暗链并没有对用户构成实质性的威胁，安全软件自然也不会对暗链进行检测，更不会对暗链作出拦截或提示，所以，部分网站负责人会忽视暗链的存在，甚至形成暗链与网站“长期共存”的现状。

5.   加强对暗链的清理与彻底整治

5.1. 需要充分意识暗链存在巨大的潜在威胁

从本次分析的网站情况来看，暗链网站不但是已经被黑客入侵，页面被植入非法链接，也会由于网站的安全问题引发被黑客重复入侵，甚至被用于挂马、C2通信等，成为黑产牟利工具，占用计算资源与网络带宽，影响网站业务开展。

5.2. 暗链清理需要彻底整治

部分的安全运维人员在发现暗链后，直接一删了事，但是大部分网站已被植入后门，如未清理，则会被反复挂链利用。正确的方式是进行全盘检查，找到最新的可疑文件，或者采用终端安全检测工具，查找后门文件进行删除清理。最后还需要对网站的漏洞进行整改修复，进行安全防护，防止被再次入侵。

5.3. 暗链的安全监管需进一步提升

对于行业主管单位或者网络安全监管部门，建议加强对暗链的检测与监管，像整治可见的安全事件如网页篡改的力度一样，从上至下加强安全重视与整改，才能扭转目前国内暗链肆意横行的现状，切断黑灰产的传播推广渠道，清朗网络空间。