SEODisc

Abstract

Die Verbreitung von Malware im Internet geschieht ?über vielfältige Wege. Immer häuffiger wird sie über Webseiten verbreitet, die den Benutzer mittels Fake-AV Kampagnen überzeugen, die als Virenscanner getarnte Malware auf dem eigenen Rechner zu installieren. Alternativ werden auch PHP-Kits eingesetzt, die die Schwachstellen des verwendeten Browsers erkennen und sie gezielt ausnutzen. Den oben genannten Infektionsvektoren gemein ist die Tatsache, dass möglichst viele potentielle Opfer auf die manipulierte Webseite gelockt werden müssen. Zu diesem Zweck wird Black-Hat Search Engine Optimization (Black-Hat SEO) eingesetzt, um zu bestimmten Schlagworten manipulierte Webseiten in den Top Suchergebnissen bekannter Internetsuchmaschinen zu platzieren. Aufgrund der Popularität der Suchmaschine Google wird häuffig auf diese optimiert. Um eine Platzierung in den Top 20 Suchergebnissen zu bestimmten Schlagwörtern zu erzielen, setzen Black-Hat SEOs unlautere Methoden wie Link-Spam [1] ein. Dabei werden Netzstrukturen aufgebaut, welche gezielt die Bewertungsalgorithmen der Suchmaschinen-Spider überlisten. Diese Netzstrukturen (SEO-Netze) bestehen aus der Verlinkung mehrerer Webseiten untereinander und lassen sich als gerichtete Graphen darstellen. Der Aufbau dieser SEO-Netze kann dabei teilweise automatisiert durch SEO-Kits erfolgen. Grundlage für den Erfolg dieser Methode besteht in der Unentdecktheit der Manipulation. Hierfür setzen Angreifer gezielt Cloaking Techniken ein. Eine der wichtigsten Methoden ist hierbei die Unterscheidung zwischen menschlichen Besuchern einer Webseite und Suchmaschinen-Spidern. Es wird unter anderem der in einer HTTP Anfrage mit übermittelte User Agent ausgewertet. In [2] wird das SEODisc System vorgestellt. In diesem System erfolgt zunächst eine Kandidatengenerierung mittels Google Trends, um somit die aktuell trendigen Webseiten im Internet zu analysieren. Bei einer erfolgreichen SEO-Attacke ist die Wahrscheinlichkeit hoch, dass manipulierte Webseiten in den Trends enthalten sind. Anschließend werden die trendigen Webseiten mittels verschiedener emulierter User Agents abgefragt und die Unterschiede in denWebseiten analysiert. Dabei werden gezielt differierende Links extrahiert (Delta-Links), um mithilfe dieser auffällige Netzstrukturen zu erkennen. Innerhalb dieser SEO-Netze wird weiterhin versucht Webseiten zu identiffizieren, die durch das SEO-Netz gefördert werden, um diese einer gezielten Analyse durch spezialisierte Analysesoftware wie MonkeyWrench [3] genauer zu betrachten.