SEODisc
Loading...
Files
Date
2011-07-21
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
Die Verbreitung von Malware im Internet geschieht ?über vielfältige Wege. Immer häuffiger wird
sie über Webseiten verbreitet, die den Benutzer mittels Fake-AV Kampagnen überzeugen, die als
Virenscanner getarnte Malware auf dem eigenen Rechner zu installieren. Alternativ werden auch
PHP-Kits eingesetzt, die die Schwachstellen des verwendeten Browsers erkennen und sie gezielt
ausnutzen. Den oben genannten Infektionsvektoren gemein ist die Tatsache, dass möglichst viele
potentielle Opfer auf die manipulierte Webseite gelockt werden müssen.
Zu diesem Zweck wird Black-Hat Search Engine Optimization (Black-Hat SEO) eingesetzt, um
zu bestimmten Schlagworten manipulierte Webseiten in den Top Suchergebnissen bekannter Internetsuchmaschinen
zu platzieren. Aufgrund der Popularität der Suchmaschine Google wird häuffig auf
diese optimiert. Um eine Platzierung in den Top 20 Suchergebnissen zu bestimmten Schlagwörtern
zu erzielen, setzen Black-Hat SEOs unlautere Methoden wie Link-Spam [1] ein. Dabei werden
Netzstrukturen aufgebaut, welche gezielt die Bewertungsalgorithmen der Suchmaschinen-Spider
überlisten. Diese Netzstrukturen (SEO-Netze) bestehen aus der Verlinkung mehrerer Webseiten
untereinander und lassen sich als gerichtete Graphen darstellen. Der Aufbau dieser SEO-Netze
kann dabei teilweise automatisiert durch SEO-Kits erfolgen. Grundlage für den Erfolg dieser Methode
besteht in der Unentdecktheit der Manipulation. Hierfür setzen Angreifer gezielt Cloaking
Techniken ein. Eine der wichtigsten Methoden ist hierbei die Unterscheidung zwischen menschlichen
Besuchern einer Webseite und Suchmaschinen-Spidern. Es wird unter anderem der in einer HTTP
Anfrage mit übermittelte User Agent ausgewertet. In [2] wird das SEODisc System vorgestellt.
In diesem System erfolgt zunächst eine Kandidatengenerierung mittels Google Trends, um somit
die aktuell trendigen Webseiten im Internet zu analysieren. Bei einer erfolgreichen SEO-Attacke ist
die Wahrscheinlichkeit hoch, dass manipulierte Webseiten in den Trends enthalten sind.
Anschließend werden die trendigen Webseiten mittels verschiedener emulierter User Agents
abgefragt und die Unterschiede in denWebseiten analysiert. Dabei werden gezielt differierende Links
extrahiert (Delta-Links), um mithilfe dieser auffällige Netzstrukturen zu erkennen. Innerhalb dieser
SEO-Netze wird weiterhin versucht Webseiten zu identiffizieren, die durch das SEO-Netz gefördert
werden, um diese einer gezielten Analyse durch spezialisierte Analysesoftware wie MonkeyWrench
[3] genauer zu betrachten.