近年来，越来越多的恶意攻击者盯上了各大社交媒体。这些社交平台由于使用便捷、可扩展性强、自动化程度高，受众面广泛等特性，为攻击者发起僵尸网络攻击提供了得天独厚的条件。
这里的僵尸网络指的是由中央控制台控制的社交平台账户集合。这些账户均由机器控制，而非真实人类所有。这些机器账户能够形成僵尸网络，发送恶意链接，例如钓鱼广告、恶意软件、勒索软件、欺诈调查、垃圾邮件、对受害者账户进行劫持控制的恶意应用程序以及点击即收费的垃圾邮件网站等等。
自今年2月起，ZeroFOX威胁研究团队调查了一个Twitter上名为SIREN的大型垃圾邮件色情僵尸网络。该僵尸网络名为SIREN(起源于希腊神话中用美妙歌声让水手迷失方向的海妖塞壬)，约包含9万多个伪造的推特账号，共计发布了850万条含有恶意链接的推文，在数周内诱使网友进行了3000万次恶意点击。
本文将ZeroFOX威胁研究团队发现的SIREN僵尸网络与Brian Krebs最近在KrebsOnSecurity披露的大型垃圾邮件僵尸网络联系在一起。两者使用的策略相似，即将受害者引诱到同一网络下的色情网站。
SIREN僵尸网络是社交平台历史上规模最大的恶意活动之一。曾经发现过的达到这个数量的僵尸网络一般不带恶意攻击性，例如大量生成“星球大战”报价。但是，这次的SIREN却明显违反了Twitter的“服务条款”。
主要发现
1. SIREN是一个庞大的Twitter僵尸网络，比社交平台上的其它大型僵尸网络危害程度都要高；近9万个独立账户，发布推文达850万条。
2. SIREN波及范围广，点击量已达到3000万次。之所以能够获得这个数据是因为该僵尸网络使用的是可追踪的谷歌短网址。
3. SIREN说明了对社交网络进行规模化编程的必要性。
4. 发起SIREN僵尸网络的攻击者可能来自东欧。
5. 虚假的交友约会网站和色情网站市场庞大，为SIREN这样的spammer制造了大量机会。ZeroFOX与KrebsOnSecurity合作调查了色情垃圾网站和其营销网络的源头。由ZeroFOX发现的Twitter僵尸网络和Krebs研究的邮件僵尸网络两者的最终目标相同，并且指向同一网络中的色情网站链接。
6. ZeroFOX分别向Twitter和Google的安全团队报告了这一重大发现，他们迅速删除了违规的帐户和链接，全面捣毁SIREN僵尸网络。
关于SIREN
SIREN僵尸网络利用由算法生成的Twitter帐户所形成的庞大网络来发布一个有效的URL，该URL会将网页重定向至很多色情网站。近9万账户都使用诱人的女性图片做头像，以及一个女性名字作为账户名（如下图）。这些机器人账户会通过直接转发受害者推文等方式来引诱他们落入圈套。

SIREN僵尸账户示例（个人资料中就加上了恶意链接）
这些账户发布的推文往往用不标准的英语描述色情信息，诱使目标对象点击链接，比如“你想见我吗？”或者“来吧，不要害羞”。
98.2%僵尸账户的推文结构都有相似性：
1. 一个性暗示的短句（第一部分）
2. 一个感叹号
3. 引诱用户点击URL的社会工程学短句（第二部分）
4. 谷歌短网址
第一个词有26种选择，但第二个词只有8种。具体短语的发布时间也存在一定规律，短时间内不同层级的短语发布频率相似（如下图）。




第一部分和第二部分的内容重复率很高。图3红框标注了推特内容的4大组成部分。一天内记录的10大发布频率最高的短句可以归类为3层，每层短句出现频率非常接近。
目标网址伪装
一旦目标对象点击链接，该用户就会碰到一系列的重定向，具体过程如下：
1. 用户点击推文上的链接
2. 这些链接会转到Twitter的t.co服务中
3. t.co重定向至goo.gl——Google的短网址（见下图）
4. goo.gl再重定向至“rotator（旋转器）”网站。该旋转器从goo.gl重定向中获取连接，并通过简单的用户代理检查对用户再次进行重定向。如果请求来自Python的请求库或cURL这样的自动化程序，则将连接重定向到Twitter或Google
5. 一旦旋转器将用户视为“合法”，它将通过另一个重定向发送到最终的目的URL
这些重定向有多种用途：
1. 混淆这些链接的最终目的地，避免反垃圾邮件服务，如Twitter的链接和谷歌短网址。
2. 伪装目标链接，并利用用户对Google和Twitter域名的信任，诱使目标用户点击链接。
3. 创建重定向的基础结构，如果其中一个链接被删除，则快速添加另一个链接继续操作。

对某个谷歌短网址的点击量统计

在所有374208个谷歌短网址中，出现频率最高的是t.co
SIREN的最终目的及与垃圾邮件僵尸网络的关系