Исследование безопасности 50 тыс. сайтов рейтинга Alexa в зоне .ru

В мае 2016 года мы анонсировали онлайн-сервис для проверки сайтов на вирусы, вредоносный код и опасные виджеты ReScan.pro. Точечные проверки сервисом некоторых популярных ресурсов выявили наличие следов взлома, внедрения скрытых редиректов на зараженные ресурсы и перенаправление на сайты с платными подписками. Поэтому мы решили провести исследование топовых ресурсов и выяснить, насколько вообще можно им доверять, и так ли безопасны известные ресурсы с высокой посещаемостью. В качестве выборки мы использовали первые 50 000 сайтов рейтинга Alexa с доменом в зоне RU.

Если посмотреть на выборку топовых сайтов рейтинга по домену .ru, то в первых трех сотнях будут сайты Яндекса, Google, Mail.ru и других крупных проектов и компаний, а дальше пойдут, в основном, развлекательные, игровые ресурсы, торренты и профильные СМИ (а еще время от времени будут встречаться домены тизерных партнерских сетей).

Если у сайтов из TOP 300 с безопасностью все в порядке (ей занимаются, причем ИБ специалисты), то безопасность ресурсов, расположенных в рейтинге чуть ниже, но все еще в первой тысяче – под большим вопросом. Для хакеров подобные ресурсы привлекательны тем, что, с одной стороны, сайты имеют высокую посещаемость (от 10K до 100K в сутки), а с другой – низкий уровень защиты (иногда, вообще никакого: просто установлена CMS с шаблонами и плагинами). Например, ресурс с посещаемостью 85 тыс. уникальных хостов в сутки может работать на CMS Wordpress с уязвимыми версиями плагинов. Получается, что взлом данной группы сайтов чрезвычайно выгоден хакерам, поскольку соотношение затрат на взлом к отдаче в результате монетизации для данной категории сайтов максимально, и в теории - это лакомый кусок, на который, могли покуситься хакеры.

Чтобы данную теорию проверить на практике, мы просканировали нашим сервисом 50 тысяч сайтов и посмотрели, сколько из них перенаправляют посетителей на опасные сайты, содержат код недобросовестной рекламы, редиректят на сервисы с платными подписками (wap-click партнерки), а также косвенно выяснили число сайтов, находящихся под санкциями Яндекса, Google и антивирусных сервисов.

Получился результат, заслуживающий внимания.

Суммарно около 2% сайтов (971 сайт) среди проверенных имели те или иные проблемы безопасности. Среди обнаруженного оказались:

  1. редиректы на загрузку зараженных apk и exe файлов,
  2. скрытые мобильные редиректы на wap-click партнерки,
  3. фишинговые страницы или недобросовестная реклама
  4. два дефейса.

Несмотря на то что процент проблемных сайтов вроде бы небольшой, опасность оказалась существенной, так как скрытые редиректы на опасные сайты обнаружились на популярных ресурсах с посещаемостью свыше 50 тыс. человек в сутки.

Топовым сайтом, у которого обнаружилась проблема безопасности, оказался сайт на 470 месте (сайты на этих позициях имеют более 50 000 уникальных хостов в сутки). Сайт размещал (и, кстати, до сих пор размещает) код недобросовестной рекламы, которая обманным путем перенаправляла посетителей на wap-click партнерскую программу.

Данный баннер появлялся только посетителям, открывающим телефон с мобильного устройства, подключенного через 3G/LTE (мобильный интернет) и только один раз.

Вторая популярная проблема, обнаруженная на сайтах – это скрытый редирект на страницу загрузки вредоносных приложений для Android-устройств.

Например, на одном сайте с посещаемостью более 60K в сутки при клике по легитимной ссылке посетителя с Android-устройства перекидывало на загрузку приложения, являющегося SMS-шпионом. Данное приложение маскировалось то под обновление браузеров или Flash-плейера, то под ускоритель интернета.

Но результат проверки файла всегда был один и тот же – это было вредоносное приложение.

Проверка ресурсов была выполнена спустя пару недель после исходной проверки, в результате чего оказалось, что 18% ресурсов уже справились с заражением и более не несут угрозы, но остается достаточно большая часть высокопосещаемых сайтов, у которых ситуация не изменилась.

Стоит отметить, что многие владельцы сайтов добровольно устанавливают код тизерных партнерских сетей или непроверенных рекламных блоков, которые скрыто выполняют перенаправление мобильных посетителей на вредоносную страницу с загрузкой шпионского ПО или платных подписок. Одни делают это осознанно, с целью более эффективной монетизации ресурсов, другие – не подозревают о том, что кроме стандартных баннеров или тизерного блока в коде партнерки может присутствовать скрытый мобильный редирект. Размещая данный код веб-мастера не только вредят посетителям, но и собственному сайту. Например, поисковая система Яндекс исключает сайты, размещающие подобные партнерки, из мобильной поисковой выдачи, а Google может наложить ручные санкции, избавиться от последствий которых намного сложнее, чем от обычного бана за распространение вирусов.

Наконец, возвращаемся к исходному вопросу: можно ли доверять популярным и посещаемым ресурсам? Увы, нет. Некоторые из них могут быть скомпрометированы или размещать код недобросовестных партнерских программ, в результате чего распространять вредоносное ПО для мобильных устройств, перенаправлять на платные партнерки или фишинговые страницы. А в некоторых случаях даже выполнять drive-by атаки (заражать компьютер или мобильное устройство посетителя вирусами и троянскими программами). Кроме того мы убедились, что

  1. Многие владельцы сайтов не знают о том, что их ресурс взломан и заражен, или не могут его самостоятельно вылечить и защитить от повторного взлома.
  2. Часть владельцев сайтов не подозревают о наличие скрытых редиректов в коде, который они размещают у себя на сайте (узнают об этом уже по факту применения санкций со стороны поисковых систем).
  3. Популярные и посещаемые ресурсы могут работать на уязвимых версиях CMS (Joomla, DLE, Wordpress и др).
  4. Более 80% обнаруженных вредоносных ресурсов не были отмечены антивирусными сервисами (в т.ч. в Safe Browsing API Яндекса и Гугла) как опасные.
  5. Для сокрытия реальных адресов, с которых загружается вредоносный код, хакеры используют обфускацию, динамическую подгрузку фрагментов .js и сервисы сокращения ссылок gl, vk.cc, bit.ly.
  6. ReScan.pro зарекомендовал себя как эффективный веб-сканер, который умеет детектировать различные виды вредоносных скриптов на сайте и может применяться как для регулярных точечных проверок, так и для диагностики сайтов в промышленных масштабах.