近年來，越來越多的惡意攻擊者盯上了各大社交媒體。這些社交平臺由于使用便捷、可擴展性強、自動化程度高，受眾面廣泛等特性，為攻擊者發起僵尸網絡攻擊提供了得天獨厚的條件。
這里的僵尸網絡指的是由中央控制臺控制的社交平臺賬戶集合。這些賬戶均由機器控制，而非真實人類所有。這些機器賬戶能夠形成僵尸網絡，發送惡意鏈接，例如釣魚廣告、惡意軟件、勒索軟件、欺詐調查、垃圾郵件、對受害者賬戶進行劫持控制的惡意應用程序以及點擊即收費的垃圾郵件網站等等。
自今年2月起，ZeroFOX威脅研究團隊調查了一個Twitter上名為SIREN的大型垃圾郵件色情僵尸網絡。該僵尸網絡名為SIREN(起源于希臘神話中用美妙歌聲讓水手迷失方向的海妖塞壬)，約包含9萬多個偽造的推特賬號，共計發布了850萬條含有惡意鏈接的推文，在數周內誘使網友進行了3000萬次惡意點擊。
本文將ZeroFOX威脅研究團隊發現的SIREN僵尸網絡與Brian Krebs最近在KrebsOnSecurity披露的大型垃圾郵件僵尸網絡聯系在一起。兩者使用的策略相似，即將受害者引誘到同一網絡下的色情網站。
SIREN僵尸網絡是社交平臺歷史上規模最大的惡意活動之一。曾經發現過的達到這個數量的僵尸網絡一般不帶惡意攻擊性，例如大量生成“星球大戰”報價。但是，這次的SIREN卻明顯違反了Twitter的“服務條款”。
主要發現
1. SIREN是一個龐大的Twitter僵尸網絡，比社交平臺上的其它大型僵尸網絡危害程度都要高；近9萬個獨立賬戶，發布推文達850萬條。
2. SIREN波及范圍廣，點擊量已達到3000萬次。之所以能夠獲得這個數據是因為該僵尸網絡使用的是可追蹤的谷歌短網址。
3. SIREN說明了對社交網絡進行規模化編程的必要性。
4. 發起SIREN僵尸網絡的攻擊者可能來自東歐。
5. 虛假的交友約會網站和色情網站市場龐大，為SIREN這樣的spammer制造了大量機會。ZeroFOX與KrebsOnSecurity合作調查了色情垃圾網站和其營銷網絡的源頭。由ZeroFOX發現的Twitter僵尸網絡和Krebs研究的郵件僵尸網絡兩者的最終目標相同，并且指向同一網絡中的色情網站鏈接。
6. ZeroFOX分別向Twitter和Google的安全團隊報告了這一重大發現，他們迅速刪除了違規的帳戶和鏈接，全面搗毀SIREN僵尸網絡。
關于SIREN
SIREN僵尸網絡利用由算法生成的Twitter帳戶所形成的龐大網絡來發布一個有效的URL，該URL會將網頁重定向至很多色情網站。近9萬賬戶都使用誘人的女性圖片做頭像，以及一個女性名字作為賬戶名（如下圖）。這些機器人賬戶會通過直接轉發受害者推文等方式來引誘他們落入圈套。

SIREN僵尸賬戶示例（個人資料中就加上了惡意鏈接）
這些賬戶發布的推文往往用不標準的英語描述色情信息，誘使目標對象點擊鏈接，比如“你想見我嗎？”或者“來吧，不要害羞”。
98.2%僵尸賬戶的推文結構都有相似性：
1. 一個性暗示的短句（第一部分）
2. 一個感嘆號
3. 引誘用戶點擊URL的社會工程學短句（第二部分）
4. 谷歌短網址
第一個詞有26種選擇，但第二個詞只有8種。具體短語的發布時間也存在一定規律，短時間內不同層級的短語發布頻率相似（如下圖）。




第一部分和第二部分的內容重復率很高。圖3紅框標注了推特內容的4大組成部分。一天內記錄的10大發布頻率最高的短句可以歸類為3層，每層短句出現頻率非常接近。
目標網址偽裝
一旦目標對象點擊鏈接，該用戶就會碰到一系列的重定向，具體過程如下：
1. 用戶點擊推文上的鏈接
2. 這些鏈接會轉到Twitter的t.co服務中
3. t.co重定向至goo.gl——Google的短網址（見下圖）
4. goo.gl再重定向至“rotator（旋轉器）”網站。該旋轉器從goo.gl重定向中獲取連接，并通過簡單的用戶代理檢查對用戶再次進行重定向。如果請求來自Python的請求庫或cURL這樣的自動化程序，則將連接重定向到Twitter或Google
5. 一旦旋轉器將用戶視為“合法”，它將通過另一個重定向發送到最終的目的URL
這些重定向有多種用途：
1. 混淆這些鏈接的最終目的地，避免反垃圾郵件服務，如Twitter的鏈接和谷歌短網址。
2. 偽裝目標鏈接，并利用用戶對Google和Twitter域名的信任，誘使目標用戶點擊鏈接。
3. 創建重定向的基礎結構，如果其中一個鏈接被刪除，則快速添加另一個鏈接繼續操作。

對某個谷歌短網址的點擊量統計

在所有374208個谷歌短網址中，出現頻率最高的是t.co
SIREN的最終目的及與垃圾郵件僵尸網絡的關系