Skip to main content

Black Hat SEO или бот для скликивания контекстной рекламы

На днях мне стало интересно, а каким образом с точки зрения «черных» методов SEO могут быть использованы хакерские программы – например, путем генерации трафика для заинтересованных ресурсов или скликивания контекстной рекламы AdWords или Яндекс.Директ 
подмена поисковой выдачи

Понятно, что увеличение числа посетителей на сайте интернет-магазина или компании, занимающейся недвижимостью, вероятнее всего положительно скажется на их доходах. Поэтому разработка подобного типа программ — вполне себе обыденное дело, и появились такие программы уже давно. По большей части таких ботов можно разделить на два класса — это различного рода Adware, которое распространяется вместе с популярными программами, или трояны, которые осуществляют более серьезную модификацию системы. 

Win32/Patched.P

Давай для начала рассмотрим достаточно экзотический, но от этого не менее интересный способ подмены результатов поиска в популярных поисковых сервисах Яндекс и Google, который был реализован в троянской программе Win32/Patched.P (ESET). В первый раз я столкнулся с этой вредоносной программой осенью 2008 года, и она привлекла меня тем, что используемый ей алгоритм подмены был хорошо продуманным и более сложным для обнаружения, чем у «конкурентов».
Win32/Patched.P вносила всего лишь одно изменение в систему: она модифицировала системную библиотеку ws2_32.dll, которая отвечает за реализацию сетевых функций прикладного уровня (например, таких как сокеты) в операционных системах MS Windows. Полезная нагрузка представляла собой кусок ассемблерного кода, который дроппер вставляет в конец оригинальной ws2_32.dll, модифицируя также точку входа, таблицу экспортов, релокации и склеивая все секции в одну для упрощения жизни при вышеописанных модификациях.
На рисунке 2 представлены интернет-сервисы, к которым этот троянец проявлял особенный интерес путем осуществления перехвата часто используемых для реализации сетевого взаимодействия системных функций, таких как:
int WSASend(
__in SOCKET s,
__in LPWSABUF lpBuffers,
__in DWORD dwBufferCount,
__out LPDWORD lpNumberOfBytesSent,
__in DWORD dwFlags,
__in LPWSAOVERLAPPED lpOverlapped,
__in LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine
);
int WSARecv(
__in SOCKET s,
__inout LPWSABUF lpBuffers,
__in DWORD dwBufferCount,
__out LPDWORD lpNumberOfBytesRecvd,
__inout LPDWORD lpFlags,
__in LPWSAOVERLAPPED lpOverlapped,
__in LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine
);
int send(
__in SOCKET s,
__in const char *buf,
__in int len,
__in int fl ags
);
int recv(
__in SOCKET s,
__out char *buf,
__in int len,
__in int fl ags
);
int select(
__in int nfds,
__inout fd_set *readfds,
__inout fd_set *writefds,
__inout fd_set *exceptfds,
__in const struct timeval *timeout
);
Перехватывая и контролируя указанные функции Winsock на этом уровне, можно осуществлять подмену любых GET/POST запросов независимо от разработчика браузера или его версии. Да и заметить сходу такую подмену сможет далеко не каждый системный администратор, не говоря уже о большинстве пользователей. На уровне модифицированного кода, на примере функции WSARecv(), это выглядит так.
Конечно же, весь функционал не ограничивается только подменой результатов поиска. Есть интересные экземпляры ботов, которые осуществляют скликивание рекламы и накрутку контекстных объявлений.

Сэмпл TDL4 — Win32/Olmarik.AOV

Вот, к примеру, не так давно нами была замечена интересная особенность в некоторых новых экземплярах руткита TDL4 — Win32/ Olmarik.AOV, о котором я достаточно подробно написал в своей предыдущей статье в январе 2011 года. Но, если кто не в курсе, данному руткиту удается удерживать звание самой технологичной массовой вредоносной программы на протяжении вот уже нескольких лет.
Это первый полноценный руткит для x64, которому удалось в обход проверки цифровой подписи и PatchGuard пробраться в ядро на 64-битных системах. Но давай вернемся к тому, из-за чего собственно пошел разговор об этом рутките. А дело в том, что после своей собственной успешной установки некоторые экземпляры этого руткита устанавливают в систему еще и троянцев из семейства Win32/Glupteba (ESET). Это наводит на мысли о том, что ресурсы ботнета начали сдавать в аренду. Также интересен тот факт, что дальнейшего взаимодействия между ботами Win32/Glupteba и TDL4 нет.
Итак, сразу после установки и идентификации бот TDL4 получает из С&C команду:
task_id = 2|10||hxxp://wheelcars.ru/no.exe
Интерпретировать которую можно следующим образом:
task_id = [command_id] [encryption_key] [URL]
В нашем случае набор параметров совпадает с командой «DownloadAndExecute», поскольку ключ шифрования равен нулю, а идентификатор команды равен двум, и затем следует количество попыток ее выполнения, равное десяти. После установки в систему Win32/Glupteba получает задание уже из своего C&C и начинает его выполнение.
Чаще всего бот получает два типа заданий — скликивание контекстной рекламы из рекламной сети «Бегун» и рассылку спама. Давай поподробнее рассмотрим, что же делает этот бот.
В первом случае происходит посещение большого количества сформированных специальным образом веб-страниц, наполнение которых провоцирует появление определенного типа контекстных объявлений. Причем все веб-страницы, с которых происходит скликивание, расположены на серверах провайдера Masterhost. Если посмотреть на статистику сетевых обращений скликивающего бота, то можно заметить большое количество обращений к серверам компании «Бегун». Интерес со стороны Win32/Glupteba к другим сервисам контекстной рекламы замечен не был — возможно, это объясняется тем, что сам алгоритм скликивания контекстной рекламы реализован достаточно примитивно. А в крупных системах, таких как Яндекс.
алгоритм скликивания контекстной рекламы

Яндекс.Директ или Google AdWords, реализованы серьезные механизмы защиты от подобного рода мошенничества, которые сильно портят жизнь желающим быстрой наживы за счет вышеописанных способов нечестного продвижения.
Сам же ботнет TDL4 так же, как и его предшественник предыдущей версии, активно монетизируется через «черные» методы продвижения веб-сайтов и подмену результатов поиска в популярных поисковых системах. Только он реализует гораздо более серьезные методы, используя способ скрытого запуска браузера Microsoft Internet Explorer через вызов ActiveX-компонента WebBrowser и эмуляции работы пользователя (при посещении веб-страницы меняется положение курсора). Кроме того, в нем реализован обход прочих превентивных методов обнаружения ботов.

Comments

Popular posts from this blog

Как работает обнальный бизнес

Пролог: Ни для кого не секрет, что скачать деньги в сети интернет через ботнет - это один из самых, а вероятнее всего самый прибыльный вид онлайн бизнеса в сети. Естественно, ходят легенды о кренделях небесных о том, что кому-то где-то удалось скачать деньги себе на счёт в размере восьмизначных сумм. Кому-то это удается сделать, как например это произошло с центробанком Киргизии, откуда нечаянно утекло 20M USD. Каждый хочет получить кусок этого пирога. 


В этом бизнесе люди делятся на два сорта:

Нальщики: Изначально это амбициозные сукины дети, которые хотят много и сразу и ничего не умеют. Большинство нальщиков в нынешнее время тупо покупают корпы и налят по картам. Раньше, чтобы стать нальщиком нужно было самому отыскать "низкого" номинала на роль директора, найти ещё одного номинала, который с генеральной доверенностью от директора будет открывать ООО и счёт в банке, нужны люди в банке, которые смогут помочь с заказом энной суммы, и желательно хороший тыл. Слава богу это в п…

Как найти заливщика на карту

Своего первого реального заливщика, который показал мне как можно скачать деньги в интернет с банковских счетов, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером немного подрабатывая продавая трафик налево, но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 500 000 гривен в Гарант, но потом призадумался, а стоит ли?

Ко мне начал обращаться народ обращается разных категорий

1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10 000 USD им на Вебмани в качестве аванса 
2. Реальные мэны, которые льют сразу большую сумму по SWIFT без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал, они сразу пропадают, суть данных действий я так и не понял. зачем пропадать, если всё прошло гладко? 3. Мутные личности, берущие реквизиты …

Как построить свой бизнес в adSense и получать $5 000 в месяц

Речь идет о сервисе контекстной рекламы Google AdSense, - это партнерская программа от всемирно известной поисковой системы Google, в который может зарабатывать ощутимые суммы любой человек, имеющий тематический web сайт.

Однако, многие начав этот бизнес очень скоро понимают, что особенно далеко на всём этом не уедёшь, получая дополнительные $100 - $150 в месяц как бонус к окладу на своём основном месте работы на дядю.




Но есть и другие, кто зарабатывает внушительные суммы в этом бизнесе, но они свои секреты обычно не раскрывают на всевозможных форумах типа searchengines.guru или тематических группках ВКонтакте, посвещенных продукту adSense.

Так как же все таки сломать стереотипы и начать зарабатывать в adSense хотя бы $2000 в месяц? Как оказалось ответ лежит на поверхности и он довольно простой. Обычно, людям серьёзно работающим с adSense всегда требуются свежие учетки для новых проектов.

У меня тоже когда-то был свой сайт в интернете с рекламой adSense, за которую я получал $50 - $7…

Богатые "папочки" спонсируют учебу сочинских студенток

Некоторые называют эти отношения "взаимовыгодными знакомствами". Другие не видят разницы между растущей популярностью отношений девушек студенток с состоятельными мужчинами старшего возраста и обыкновенными сексуальными услугами Маше 22 года. На ней спортивные штаны и футболка. Она решила спать с мужчинами гораздо старше ее самой, когда она училась в университете.

Свои мысли она выражает спокойно и ясно. "Я люблю секс, - говорит Маша, - и хочу заметить, я хорошо знаю, как им заниматься. Так что найти "папочку" или двух не составило никакого труда".

Маша в этом смысле не одинока. Все больше и больше сочинских студенток, погребенных под горами долгов, решают найти себе богатого мужчину определенного возраста. Они проводят время с такими "папочками" в обмен на деньги и подарки.

"Мой женатый "папочка" давал мне примерно 50 долларов за ночь", - говорит Маша. - Его интересовал только секс. Мой разведенный "папочка" давал мн…

Как делают заливы на карты и банковские счета

Примерно 1,1 млн человек пришлось поделиться с нальщиками из Новосибирска не только своим транзакционными данными, но и сведениями о номерах социального страхования, которые находились в распоряжении электронной платежной системы финансового провайдера RBS WorldPay, принадлежащей банку Royal Bank of Scotland.

Персональные данные почти 1,5 млн человек оказались оказались в распоряжении грамотного заливщика, который получил доступ к базе данных банковской системы, успешно проэксплуатировав SQL инъекцию клиентского Web портала Royal Bank of Scotland.

Однако в финале купленные на обналиченные деньги дорогие иномарки и недвижимость пришлось переоформить на незнакомых заливщику лиц, которые и помогли ему остаться на свободе.

В 2008 году жителю Новосибирска Алексею Аникину удалось получить доступ к базе данных RBS WorldPay. На основе полученных данных о TRACK2 и пин-кодов реальных банковских карт были изготовлены поддельные банковские карты, по которым в течение 12 часов в банкоматах по все…