استفاده ی هکرها از Googlebot برای انتشار بدافزارهای مخرب

مجرمان اینترنتی با سواستفاده از سرورهای Googlebot اقدام به انتقال محتوای مخرب روی بستر شبکه کردند. این یک اقدام تازه نیست زیرا سال گذشته نیز، از ابزارهای Google Adwords و Google Sites برای انتشار بدافزارهای مختلف استفاده شده بود. تحقیق دیگری نشان داد، هکرها از نتایج جستجوی گوگل برای توزیع تروجان بانکی Zeus Panda سوءاستفاده کرده اند.

در بررسی که اخیرا انجام شده است، کارشناسان جرایم سایبری رفتار غیرمعمولی را در سرورهای Googlebot شناسایی کردند. در این بررسی مشاهده شد که سرورهای Googlebot درخواست های مخربی را به سمت سیستم های قربانی ارسال می کنند. از آنجا که فروشندگان و سازمان های زیادی از Googlebot استفاده می کنند، این مشکل می تواند عواقب جدی به همراه داشته باشد.

پیش از شناسایی این مشکل، در ماه اوت سال جاری یک آسیب پذیری اجرای کد از راه دور (به شناسه ی CVE-2018-11776) دربرنامه ی Apache Struts 2  کشف شده بود. این آسیب پذیری امکان انتقال محتوای جاوا از طریق URL را فراهم می ساخت. کارشناسان جرایم سایبری اعلام کردند یک انجمن هکری به نام CroniX از این آسیب پذیری برای انتقال بدافزارهای استخراج ارز دیجیتال استفاده کرده است. از طرفی تحقیقات نشان داد که ابزار مخرب مشابهی برای سواستفاده از سرویس Googlebot مورد استفاده قرار گرفته است. محققان اعلام کردند که درخواست های ایجاد شده توسط سرورهای گوگل مشابه درخواست های منتشر شده توسط ابزارهای مخرب انجمن CroniX است.

البته باید به این نکته اذعان کرد که اگر بخواهیم وبسایت ما در خروجی های جستجوی گوگل نشان داده شود چاره ای جز استفاده از Googlebot نداریم. از این رو بسیاری از ارائه دهندگان خدمات تحت وب، به ترافیک سرورهای Googlebot اعتماد می کنند. این مطلب بدان معناست که درخواست های مخرب ایجاد شده توسط سرورهای Googlebot بدون اعمال هیچگونه احراز هویت خاصی، از فرآیندهای بررسی در مکانیزم های امنیتی مستثنا می شوند. این امر می تواند موجب انتقال محتوای مخرب روی سرورهای قربانی شود. اگر آدرس IP به صورت خودکار توسط مکانیزم های امنیتی سازمان مسدود شود، Googlebot نیز مسدود شده و جایگاه این سازمان در نتایج جستجوی Google تنزل خواهد یافت.

Googlebot تمام لینک های یک سایت را دنبال کرده و صفحات مربوطه را بررسی می کند و از این طریق پایگاه داده ی مربوط به موتورجستوی خود را به روزرسانی می نماید. این روش به گوگل اجازه می دهد، وب سایت های جدید را قبل از ارائه ی آن ها به کاربران تحلیل کند. در این روش به هر URL یک درخواست GET ارسال می شود. درخواست های ایجاد شده توسط Googlebot به لینک هایی که هیچ نوع کنترل امنیتی روی آن ها صورت نمی گیرد ارسال می شود.

یک هکر می تواند از این متد به سادگی سواستفاده کند و Googlebot را با هدف ارسال درخواست های مخرب به قربانیان مختلف فریب دهد. هکر می تواند برای رسیدن به هدف خود، لینک های مخرب که حاوی آدرس مقصد و محتوای بدخواهانه است را به یک وب سایت اضافه کند.

وقتی Googlebot این لینک ها را تشخیص داد، آن ها را دنبال می کند و یک درخواست GET مخرب به آدرس مقصد(که همان آدرس قربانی است) ارسال می کند. محققان این روش را به صورت عملی بررسی و صحت آن را تایید کردند.

متخصصان جرایم سایبری موسسه ی بین المللی امنیت سایبری به ارائه دهندگان خدمات تحت وب توصیه کردند سطح اطمینان خود به سرویس دهندگان دیگر را بررسی کنند. همچنین از وجود چندین سطح امنیتی در مکانیزم های تدافعی خود و وجود روش های اعتبارسنجی روی داده های سازمانی اطمینان حاصل نمایند.

لازم به ذکر است که شرکت Google نیز از این ایراد اطلاع دارد و اطمینان داده است که این آسیب پذیری در چند روز آینده رفع خواهد شد.

منبع:

http://www.securitynewspaper.com/2018/10/13/hackers-use-googlebot-in-mining-malware-attacks/