Perché i siti Web compromessi ti portano spesso attraverso più reindirizzamenti URL?

Qui ci sono due casi:

Un sito che pubblica annunci dannosi ( Malvertising )

In questo caso l'utente malintenzionato non compromette il sito stesso ma utilizza in modo errato annunci mirati per selezionare la vittima in base alle sue capacità specifiche (browser, sistema operativo, geolocalizzazione, ...) e attaccarla. A causa del modo in cui funziona la pubblicazione degli annunci mirati, viene utilizzato un sacco di reindirizzamenti tra vari siti, ad esempio la maggior parte dei reindirizzamenti non riguarda il recapito di malware, ma parte del consueto processo di pubblicazione degli annunci. Vedi ad esempio Come funziona la pubblicazione degli annunci in tempo reale per maggiori informazioni. Potrebbero esserci alcuni reindirizzamenti specifici del malware nelle ultime fasi per gli stessi motivi descritti per il secondo caso di seguito.

Un sito che è stato compromesso da un utente malintenzionato

In questo caso il sito visitato viene compromesso da un utente malintenzionato. Solitamente l'autore dell'attacco inserisce solo un minimo reindirizzamento sul sito compromesso per i seguenti motivi:

• Più difficile da rilevare
  Se viene installato solo un codice di reindirizzamento e non il carico utile malevolo, la possibilità è maggiore che il compromesso rimarrà non rilevato dal proprietario.
• Proteggi il malware dai ricercatori
  Il malware è prezioso per l'aggressore. Se alcune società di sicurezza dovessero mettere le mani su tutto il codice dannoso durante la pulizia del sito compromesso e potrebbero analizzarlo e quindi aggiungere protezioni per i propri clienti, rendendo improvvisamente meno prezioso il malware.
• Maggiore flessibilità nell'aggiornamento del malware
  Se il malware viene rilevato dai sistemi di sicurezza, l'utente malintenzionato deve installare la versione successiva. Inoltre, il malware potrebbe non essere di proprietà dell'utente stesso, ma un utente malintenzionato potrebbe semplicemente reindirizzare la vittima a un altro utente malintenzionato che sviluppa e ospita (sempre aggiornato). Entrambi gli attaccanti condividono quindi il profitto (cioè il tipo di franchising).
• Protezione contro i takedown
  Utilizzando i reindirizzamenti, l'utente malintenzionato può creare un'infrastruttura più flessibile che è più efficace contro le rimozioni o la blacklist.

Una tecnica comune che viene usata dagli attaccanti per evitare il rilevamento, è quello di offuscare la fonte da cui è stato scaricato il malware utilizzando una serie di reindirizzamenti web. Gli aggressori possono usare il legittimo Risposta "302 Trovato" per creare una serie di reindirizzamenti web prima del il browser della vittima viene finalmente reindirizzato alla pagina che fornisce il sfruttare la macchina della vittima. Questi siti intermedi sono anche noto come porte. L'URL di queste porte cambia frequentemente, come ogni mezz'ora o giù di lì, per privare i ricercatori di sicurezza del tempo necessario per riunirsi abbastanza informazioni per fornire un'analisi di attacco significativa. L'uso delle porte aggiunge anche strati extra che rendono più difficile da determinare la fonte del malware. Anche l'uso dei reindirizzamenti HTTP 302 viene eliminato la necessità di iFrame o script esterni perché i reindirizzamenti HTTP 302 sono meno propensi a sollevare sospetti rispetto agli iFrame nascosti o script esterni.

Sia che si utilizzi un'ammortizzazione iFrame o HTTP 302, l'obiettivo principale dell'attaccante è quello di garantire il il browser Web della vittima finisce sulla pagina Web dell'utente malintenzionato che fornisce l'exploit dannoso a la vittima.

Sospetto che non sia possibile utilizzare il pulsante Indietro: facendo clic su Indietro si tornerà indietro di un sito, che immediatamente reindirizzerà l'utente in avanti.

Un sito Web compromesso NON ti reindirizzerà. Quello a cui ti riferisci è semplicemente un 302 avanti. Il che significa che quando chiami il mio sito web.com sto dicendo al browser: oh, ci siamo trasferiti su website2.com. Questa è la natura di http ed è necessario che sia così.

I siti web spam / annuncio che stai facendo per uno scopo diverso. Innanzitutto, lo fanno per le anteprime, attendi 5 secondi prima di reindirizzarti e guardarlo. Oppure lo fanno anche molto rapidamente, quindi sei stato reindirizzato in 10 siti web in pochi secondi prima di atterrare da nessuna parte ... di solito è fatto per generare traffico sui siti web, aumentare il ranking, migliorare la SEO ... ecc.

Un sito Web compromesso è una miniera d'oro. Proprio come di recente abbiamo sentito che Adobe è stato compromesso per alcune persone a causa della manipolazione del DNS e che gli hacker stavano servendo installatori flash infetti ecc. Quindi, se un sito web è compromesso, l'obiettivo è di usare la sua autorità e la fiducia che le persone devono farti correre exe . Ma se ho compromesso il sito Web di Adobe o X, perché dovrei reindirizzare da qualche altra parte? perdere la tua fiducia? Ofc è sempre soggettivo sui motivi ma aver compromesso un sito web e usarlo semplicemente per 302 è la cosa più stupida che abbia mai sentito.