惡意廣告——網(wǎng)絡攻擊的新天堂

責任編輯:editor004

2015-04-07 14:55:48

摘自:安全牛

惡意廣告已經(jīng)成為網(wǎng)絡罪犯鐘愛的“搖錢樹”,給網(wǎng)絡安全造成了極大的挑戰(zhàn)。然后,攻擊者放置好漏洞利用代碼的受控網(wǎng)站(或說被掛馬的網(wǎng)站),坐等受害者。

惡意廣告已經(jīng)成為網(wǎng)絡罪犯鐘愛的“搖錢樹”,給網(wǎng)絡安全造成了極大的挑戰(zhàn)。惡意黑客們在這塊沃土上繁榮昌盛,而各大互聯(lián)網(wǎng)巨頭的網(wǎng)絡廣告則成為了一個天然呆萌的共犯,不經(jīng)意間通過合法的流程向不知情的用戶推出了惡意廣告。

給 這種惡意黑客行為火上澆油的是廣告實時競價(RTB)。作為一種革命性的線上廣告售賣方式,RTB可以讓廣告更加精準,同時也減少了廣告發(fā)布方的未售出廣 告位,但同時也帶來了極大的危害--,黑客利用RTB在任意看中的網(wǎng)站上掛出他們的惡意廣告,就像合法的廣告買家一樣,使用同樣的系統(tǒng)。

在線廣告可定位用戶

安 全公司Invincea稱,地理定位的廣告能精確標定廣告地理位置,將攻擊限制在特定的國家甚至某個住宅區(qū)。利用這一點,攻擊者可以將惡意廣告的目標鎖定 某家公司的公共IP空間,或者更普遍的做法是從用戶購物習慣進行分析而放置惡意代碼,再有就是是通過在大流量的網(wǎng)站上放置誘騙點擊的內(nèi)容。

RTB使得惡意軟件編寫者更容易鎖定個人受害者。在RTB出現(xiàn)之前,你不得不先攻入廣告發(fā)布網(wǎng)絡。而現(xiàn)在,你不僅可以競得廣告位,還能利用同一個平臺精準定位你想禍害的任何人。”現(xiàn) 在幾乎所有的廣告都是RTB模式,因此任何時候只要你聽到惡意廣告,那肯定是在利用RTB在大肆傳播。而且,涉足惡意廣告領域的攻擊者通常都比防御者棋先 一招,他們挖掘廣告網(wǎng)絡在控制上的漏洞以避開掃描。而且即使惡意廣告活動被發(fā)現(xiàn),這些活動一般也只生存幾個小時就自毀,令廣告網(wǎng)絡無法及時對假賬號采取有 效對策。

惡意廣告的工作機制

攻擊者利用在線廣告可以建立僵尸網(wǎng)絡,傳播惡意軟件,甚至傳遞針對性攻擊中使用的復雜漏洞利用程序。其精妙之處在于惡意廣告策略可以輕易地成功實施。

下面我們來看看攻擊者的工作機制:

首先,他會創(chuàng)建一個假的公司,冒充合法的廣告買家來購買廣告位。

然后,攻擊者放置好漏洞利用代碼的受控網(wǎng)站(或說被掛馬的網(wǎng)站),坐等受害者。

一旦選定受害者,無論是根據(jù)地理上的實體還是通過用戶類別來甄選的,黑客都會通過RTB進行廣告競價,將自己的廣告在目標網(wǎng)站上呈現(xiàn)。

用以支撐競價的錢通常都是偷來的,或者是從點擊誘騙或是其他惡意軟件活動中攫取來的。當廣告競價勝出,帶有漏洞利用或是iframe重定向到漏洞利用站點的惡意廣告便通過廣告網(wǎng)絡散布出去了。

黑客們在收集到足夠的受害者以支撐他們建立新的僵尸網(wǎng)絡或點擊誘騙網(wǎng)絡,或者偷到足夠的銀行密碼以盜取賬戶里的錢財,之后會很快丟棄他們偽造的登錄頁面。

“惡意廣告一直在持續(xù)增長,因為廣告網(wǎng)絡觸及很多以前從未涉獵的角落?,F(xiàn)在,基本上每個站點,甚至銀行,都在使用‘雙擊’(DoubleClick:美國一家網(wǎng)絡廣告服務商)。你回避不了它。”--白帽子安全實驗室羅伯特·漢森

一方面是因為網(wǎng)絡廣告激增,另一方面則是攻擊者發(fā)現(xiàn)這種攻擊手段簡直太容易了。它比攻擊網(wǎng)站輕松,而且廣告空間也不像攻擊網(wǎng)站那樣,有可能被逮到因此而付出代價。

[page]

第三方廣告內(nèi)容托管的風險

廣 告網(wǎng)絡和RTB的出現(xiàn)是對速度和效率的追求。因此,廣告位提供方大多不想在自己的服務器上存放廣告內(nèi)容。于是,常見的做法就是允許第三方內(nèi)容被放進廣告里,實現(xiàn)豐富的在線廣告顯示。這種辦法對合法廣告而言很好,然而黑客也可以利用它在廣告中塞入他們自己的第三方服務器上的惡意Flash動畫文件或 JavaScript腳本。這些文件通常不需要用戶交互就能觸發(fā)漏洞,僅僅是使用了沒打補丁的IE、火狐、Chrome等瀏覽器訪問頁面,就會被隱形重定 向到含有滲透代碼工具的另一個網(wǎng)站上。這種工具包隨后會在受害者主機上留下攻擊代碼,可能是網(wǎng)銀木馬、點擊誘騙惡意軟件,甚或勒索軟件。

“在 2014年第四季度,我們看到了通過惡意廣告?zhèn)鞑サ睦账鬈浖﨏ryptowall的變種。奇怪的是,在過去3到5個月里,它并沒有大范圍傳播,但絕對出現(xiàn) 了更多的感染。這是違反直覺的,是來自攻擊者的一個大膽舉措。勒索軟件與傳統(tǒng)惡意軟件不同,它們通常希望保持隱秘。一旦中了勒索軟件的招兒,你要么支付贖 金,要么只有坐等系統(tǒng)被清空資料被清盤。從勒索軟件的使用我們可以看出,惡意廣告就是為了錢。”

  羅伯特·漢森

作為與黑帽黑客對立的白帽黑客,漢森表示,用戶總能通過一些瀏覽器制造商或第三方提供的插件來屏蔽廣告。然而,選擇屏蔽廣告的用戶數(shù)量相對較少。

安全公司W(wǎng)hiteOps共同創(chuàng)始人兼CEO邁克爾·蒂凡尼認為:

“巨大的市場壓力要求一切都自動化。這方面你做得越好,發(fā)展便越快。但問題在于,你怎樣在排除壞人的創(chuàng)新和自動化的同時提供最大限度的開放性。解決之道也許在于信譽系統(tǒng)。類似保證網(wǎng)站和電子郵件完整性的信譽系統(tǒng)可以抑制惡意廣告的蔓延,作惡多端的用戶賬戶也會被封。你當然清除不了所有的黑客攻擊方法,但必須能 讓這些攻擊不會大范圍成功。我對此持樂觀態(tài)度。”

  邁克爾·蒂凡尼

[page]

惡意廣告已不再僅僅是點擊誘騙

許多大型網(wǎng)站都曾做過惡意廣告的幫兇,涉及范圍橫跨互聯(lián)網(wǎng)各方各面,包括大型新聞和娛樂網(wǎng)站、搜索引擎和其他很多站點。惡意廣告染指的范圍擴大是不爭的事實——只要黑客們想這么干,而且攻擊者的收益也不僅僅局限于點擊欺詐。

幾乎所有惡意廣告都通向攻擊代碼工具包,一些像垂釣者(Angler)之類的工具包還配有勒索軟件,這些贖金軟件能迫使用戶交出價值幾百美元的比特幣以贖回自己機器的控制權(quán)或解鎖被惡意軟件加密的文件。

去年十月Invincea發(fā)現(xiàn)了一起稱之為“死亡點擊行動(Operation DeathClick)”的高級持續(xù)性攻擊。這起攻擊中,惡意廣告進入了有國家支持的針對國防工業(yè)基礎的攻擊領域。死亡點擊行動的惡意廣告類型相當明確, 目標的選擇基于一串長長的特征列表,包括像Flash、操作系統(tǒng)、Java和瀏覽器版本之類的用戶代理字符串;基于cookie,與內(nèi)容相關的興趣點;用 以鎖定特定行業(yè)、公司和個人的地理和基于公司的IP地址范圍。

阻止惡意廣告的商業(yè)動機

從商業(yè)利益上來講,廣告商需要阻止惡意廣告的蔓延。但屏蔽廣告或者屏蔽網(wǎng)絡廣告的做法只能作為不得已而為之的最后手段,而且把已知惡意網(wǎng)站拖入黑名單盡管容易許多,但也同樣會被黑客快速放棄,因而也不見得是真正可行的選擇。

比如,Blue Coat的代理封鎖列表中就含有廣告競價網(wǎng)絡,這對廣告網(wǎng)絡而言可不是好事。一旦被封鎖,就不能在企業(yè)環(huán)境中發(fā)布廣告。如果一家廣告網(wǎng)絡公司臭名昭著到被封了,會對其生意帶來嚴重的打擊。這是對過多分發(fā)惡意軟件的終極懲罰。

廣告網(wǎng)絡應該有著盡可能干凈的動機,達成這一目的的簡便方法是自己的內(nèi)容自己管,但大多數(shù)廣告交易平臺都不想在創(chuàng)建自己的存儲空間上進行投入。獲取最大控制 和讓這些煩心事消失的最佳方法就是在廣告交易系統(tǒng)批準新用戶和新內(nèi)容的時候,內(nèi)容必須托管在交易系統(tǒng)上,而不是由第三方托管來發(fā)布。第三方托管發(fā)布就是黑 客能夠分發(fā)他們自己內(nèi)容的途徑。消除這一途徑是最佳也最快的減少惡意廣告的方法。

最后,不允許各式各樣的廣告代碼,除非這些代碼都在你的網(wǎng)站上,而且你還能證明代碼做的都是合法的事。不執(zhí)行額外的功能,不允許重定向,也不允許運行代碼。

也許這樣做有些過于嚴厲,但相比于惡意廣告帶來的對廣告市場及用戶的雙重危害來說,還是有必要的。

原文地址:http://www.aqniu.com/news/7221.html

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號