サイト権限まで奪い取られたdefaceサイト、titleフィルターで検知 (title:"hacked by")

ハッカーがサーバーの権限を乗っ取りした後、ウェブサイトの画面を改ざんする攻撃を指し、ディフェイス(deface、ウェブサイト改竄 )(リンク:ディフェイスに関する説明)と呼びます。ホームページにアクセスした時、元の画面ではなく、ハッカーが作った偽の画面が出るようにする改竄は、故意に「私がこのサイトを乗っ取りした」という証跡を残すための行為です。ディフェイス( deface )攻撃は画面だけを変えたので、大きな被害がないと感じられるが、実際にはハッカーがサイトの管理者権限を獲得した、完全に掌握された状態といえるでしょう。
ディフェイス(deface)攻撃を受けたサイトの画面


世界中でこのようなハッキング攻撃を受けたサイトは毎日発生しており、世界各国の政府機関はこのようにハッキングされたサイトを見つけて措置する専門部署があるほど被害は少なくないです。このようにディフェイス(deface)されたサイトを検出する基本的な方法は、ハッカーがよく使用する文字列を見つけることです。ディフェイス(deface)攻撃を敢行するハッカーは、自分がサイトを乗っ取りしたことを誇示するために 「hacked by XXXX」 という文字列をサイト内に入れておいたり、ブラウザのタイトル内に表記したりします。

ブラウザのタイトルに挿入された
ディフェイス(deface)攻撃を誇示する文字列


titleフィルターを介したDefaceサイトの検知方法


[Criminal IP Youtube – titleフィルターでDefaceサイトを検知する方法]

Criminal IP では下のように title で検索する機能を提供しています。title:hacked または、title:”hacked by” を検索すると、画面が改竄されたたくさんのサイトを検知できます。このような検索ワードで所属機関や企業の関連サイトの中でディフェイス(deface)攻撃を受けたサイトがあるかを定期的に確認できます。
title:hackedtitle:”hacked by”
Criminal IP の title:”hacked by” の検索結果


Criminal IP の title フィルターを介したフィッシングサイトの検知方法

title 検索はフィッシングサイトを検知するうえでも有用です。もし、HELLO WORLD BANK  という銀行があるとして、そのネットバンキングサイトの title が銀行名の同様に適用されている場合、フィッシングサイトも当然、同じ title または、類似する文字列が含まれているタイトルでサイトを作っておいた可能性が非常に高いです。従って、この場合は title:HELLO WORLD BANK または、title:BANK などのフィルターを検索すると、銀行のサイトの中で、フィッシングサイトを検知する上でとても役に立つでしょう。


データの提供

  • Criminal IP 
    https://www.criminalip.io/ja 

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

  • 1000 / 1000