正文

针对英国网站所使用的恶意广告攻击

admin
admin V管理员 /0 评论 /16 阅读
0318
此篇文章发布距今已超过1144天,您需要注意文章的内容或图片是否可用!

最近,我们的安全研究人员意外发现了一起针对英国大型新闻网站的恶意广告攻击事件,所以我们决定对这一事件进行深入地分析调查。

所谓恶意广告,指的就是互联网上用流氓软件感染用户电脑的广告。根据网络安全公司Blue Coat Systems所说,恶意广告是当今网络犯罪组织首选的计算机劫持技术。攻击者可以利用被入侵的计算机来创建强大的僵尸网络,并以此来窃取用户的身份信息,泄漏企业敏感数据,或者进行一些其他的恶意活动。

正如我们最近所发现的很多网络攻击,合法的网络广告与流氓广告之间的划分界限变得越来越模糊了。实际上,在很多情况下,我们根本无法去区分某一网络广告到底是合法的还是非法的。而且有的网络广告实际上就是流氓广告,但是我们却无法找到证据去证明它。

我们的安全研究人员最近发表了一篇标题为“Operation Fingerprint”的文章,正如我们在文章中指出的那样,想要重新模拟这类网络攻击是非常困难的,而且在无法提取到确凿的证据时,我们也很难对这类攻击事件进行分析和处理。

为了证明我们所提出的观点,我们将会对这次针对英国大型新闻网站的恶意广告攻击事件进行深入地分析。在此次攻击事件中,流氓广告服务商使用了一种非常聪明的伪装技术来传播和推送其设有攻击陷阱的流氓广告。

受恶意广告影响的网络站点:

l  dailymail.co.uk

l  adclick.g.doubleclick.net

l  track.bridge.systems

l  cdn.exeterquads.com

l  geraeuschvollste.ciderstore.co.uk

第一眼看上去,exterquads.com这个网站看起来应该是英国的一个合法商业网站。然而,其子域名(在主域名之前的子域名-‘cdn’)的所有者却是一个网络犯罪分子。这名攻击者从这一主域名所有者那里窃取到了合法的证书,然后利用这一合法证书创建了一个指向攻击者服务器的恶意URL地址。这就是我们之前所提到过的域名阴影技术(Domain Shadowing)。

域名阴影技术在最近的网络钓鱼攻击事件中扮演着重要的角色。黑客窃取了受害者(网站站长)的域名账户,并利用证书创建了数以万计的子域名,然后利用子域名指向恶意网站,或者直接在这些域名绑定的服务器上加载恶意代码。这种恶意攻击手法非常有效,而且难以防范。因为你不知道黑客下一个会使用谁的账户,所以几乎没有办法去获悉下一个受害者。

合法域名的信息:

主机名称: exeterquads.com

服务器IP地址: 5.196.39.216

服务器参数: Microsoft-IIS/8.5

流氓网站的子域名信息:

主机名称: cdn.exeterquads.com

服务器IP地址: 5.63.145.76

服务器参数: nginx/1.0.15

除此之外,攻击者还会从合法的商业网站中窃取其logo图标和一些其他的图片信息,然后在自己的流氓网站中添加一些比较有说服力的广告标语,并以此来对流氓网站进行伪装。很明显,这也是攻击者为了掩盖其真正目的而采取的欺骗手段。实际上,除了上述的一些图标和广告标语之外,网站还会加载一个1×1像素的图像,该图片很可能是攻击者为了跟踪用户而放置的。

这也就是用户身份信息的泄漏之处。我们对图片中所隐含的恶意代码进行了解码分析,并发现攻击者确实是在利用这一图片来对目标用户的真实身份进行识别,而且安全检测工具很难检测到这类安全威胁。

研究人员还发现,恶意代码中还包含有一个能够为下载漏洞利用工具提供信息的URL地址,在我们所研究的事件中,攻击者使用的是Angler EK。

因为这类攻击行为针对的是英国的网站和用户,所以我们也在寻找是否有其他的商业网站也受到了这类攻击行为的影响。结果,我们的确发现了很多攻击者目前正在利用这种攻击方法来对他人进行攻击。

大家可以看到下图所显示的流氓网站界面,网站界面中的合法品牌图标和网站整体的配色方案全部都是由攻击者从其他的商业网站中窃取来的,而这些网站的所有者对此却毫不知情。

网站子域名列表:

l  ads.thompsons-online.co.uk

l  banners.cleanearclinic.co.uk

l  st.pickabook.co.uk

l  front.major4agents.co.uk

l  pix.majortravel.co.uk

l  promo.tv-ark.org.uk

正如我们在文中所提到的那样,能够确定某一网站是否为合法网站的唯一方法就是查询该网站的域名信息,然后对比一下该网站主域名和子域名之间到底有何差异。

还需要注意的是,现在有很多流氓网站(子域名)使用了免费的SSL证书,但是其子域名所对应的主域名却并没有使用这种证书。

也许,能够证明网站合法性的最好方法就是检测其网站代码中是否包含恶意代码了,虽然想要在现实生活中做到这一点是非常困难的。

英国境内的恶意广告活动规模非常的庞大,目前只排在美国的后面。而且我们还发现,攻击者在针对加拿大、澳大利亚以及法国等国家进行攻击时,也采用了类似的操作手法。攻击者会使用伪造的合法品牌商标来对网站进行伪装,而隐藏在这些网站中的广告数量简直多得惊人。

为此,我们设法与其中一家品牌商标被攻击者窃取了的公司取得了联系。当我们问到他们是否清楚自己的广告商标被某个子域名网站滥用时,他们表示对此毫不知情。但是,该公司在了解到这一事件之后,便立刻与他们的网站服务托管商展开了交涉,并试图找到这一问题的根源所在。

Malwarebytes:我认为,这个子域名应该不是你主网站的合法子域名吧?而且我们也已经发现,现在有大量的流氓广告网站会利用这种子域名来传播其恶意广告。

网站所有者:谢谢你们的提醒。我们已经在与网站托管服务提供商就此违法事件进行交涉了。但是我想问的是,你们是如何发现这件事情的呢?顺便提一下,我们公司一直都在使用你们的安全防护软件,它们真的非常的棒!

实际上,这类攻击只是一种警示。我们应该意识到,攻击现在有很多很多的方法来入侵或者利用一个网站,但是想要防范此类事件的发生却是非常困难的。