惡意廣告已經(jīng)成為網(wǎng)絡(luò)罪犯鐘愛(ài)的“搖錢(qián)樹(shù)”，給網(wǎng)絡(luò)安全造成了極大的挑戰(zhàn)。惡意黑客們?cè)谶@塊沃土上繁榮昌盛，而各大互聯(lián)網(wǎng)巨頭的網(wǎng)絡(luò)廣告則成為了一個(gè)天然呆萌的共犯，不經(jīng)意間通過(guò)合法的流程向不知情的用戶(hù)推出了惡意廣告。

給 這種惡意黑客行為火上澆油的是廣告實(shí)時(shí)競(jìng)價(jià)(RTB)。作為一種革命性的線(xiàn)上廣告售賣(mài)方式，RTB可以讓廣告更加精準(zhǔn)，同時(shí)也減少了廣告發(fā)布方的未售出廣 告位，但同時(shí)也帶來(lái)了極大的危害--，黑客利用RTB在任意看中的網(wǎng)站上掛出他們的惡意廣告，就像合法的廣告買(mǎi)家一樣，使用同樣的系統(tǒng)。

在線(xiàn)廣告可定位用戶(hù)

安 全公司Invincea稱(chēng)，地理定位的廣告能精確標(biāo)定廣告地理位置，將攻擊限制在特定的國(guó)家甚至某個(gè)住宅區(qū)。利用這一點(diǎn)，攻擊者可以將惡意廣告的目標(biāo)鎖定 某家公司的公共IP空間，或者更普遍的做法是從用戶(hù)購(gòu)物習(xí)慣進(jìn)行分析而放置惡意代碼，再有就是是通過(guò)在大流量的網(wǎng)站上放置誘騙點(diǎn)擊的內(nèi)容。

RTB使得惡意軟件編寫(xiě)者更容易鎖定個(gè)人受害者。在RTB出現(xiàn)之前，你不得不先攻入廣告發(fā)布網(wǎng)絡(luò)。而現(xiàn)在，你不僅可以競(jìng)得廣告位，還能利用同一個(gè)平臺(tái)精準(zhǔn)定位你想禍害的任何人。”現(xiàn) 在幾乎所有的廣告都是RTB模式，因此任何時(shí)候只要你聽(tīng)到惡意廣告，那肯定是在利用RTB在大肆傳播。而且，涉足惡意廣告領(lǐng)域的攻擊者通常都比防御者棋先 一招，他們挖掘廣告網(wǎng)絡(luò)在控制上的漏洞以避開(kāi)掃描。而且即使惡意廣告活動(dòng)被發(fā)現(xiàn)，這些活動(dòng)一般也只生存幾個(gè)小時(shí)就自毀，令廣告網(wǎng)絡(luò)無(wú)法及時(shí)對(duì)假賬號(hào)采取有 效對(duì)策。

惡意廣告的工作機(jī)制

攻擊者利用在線(xiàn)廣告可以建立僵尸網(wǎng)絡(luò)，傳播惡意軟件，甚至傳遞針對(duì)性攻擊中使用的復(fù)雜漏洞利用程序。其精妙之處在于惡意廣告策略可以輕易地成功實(shí)施。

下面我們來(lái)看看攻擊者的工作機(jī)制：

首先，他會(huì)創(chuàng)建一個(gè)假的公司，冒充合法的廣告買(mǎi)家來(lái)購(gòu)買(mǎi)廣告位。

然后，攻擊者放置好漏洞利用代碼的受控網(wǎng)站(或說(shuō)被掛馬的網(wǎng)站)，坐等受害者。

一旦選定受害者，無(wú)論是根據(jù)地理上的實(shí)體還是通過(guò)用戶(hù)類(lèi)別來(lái)甄選的，黑客都會(huì)通過(guò)RTB進(jìn)行廣告競(jìng)價(jià)，將自己的廣告在目標(biāo)網(wǎng)站上呈現(xiàn)。

用以支撐競(jìng)價(jià)的錢(qián)通常都是偷來(lái)的，或者是從點(diǎn)擊誘騙或是其他惡意軟件活動(dòng)中攫取來(lái)的。當(dāng)廣告競(jìng)價(jià)勝出，帶有漏洞利用或是iframe重定向到漏洞利用站點(diǎn)的惡意廣告便通過(guò)廣告網(wǎng)絡(luò)散布出去了。

黑客們?cè)谑占阶銐虻氖芎φ咭灾嗡麄兘⑿碌慕┦W(wǎng)絡(luò)或點(diǎn)擊誘騙網(wǎng)絡(luò)，或者偷到足夠的銀行密碼以盜取賬戶(hù)里的錢(qián)財(cái)，之后會(huì)很快丟棄他們偽造的登錄頁(yè)面。

“惡意廣告一直在持續(xù)增長(zhǎng)，因?yàn)閺V告網(wǎng)絡(luò)觸及很多以前從未涉獵的角落。現(xiàn)在，基本上每個(gè)站點(diǎn)，甚至銀行，都在使用‘雙擊’(DoubleClick：美國(guó)一家網(wǎng)絡(luò)廣告服務(wù)商)。你回避不了它。”--白帽子安全實(shí)驗(yàn)室羅伯特·漢森

一方面是因?yàn)榫W(wǎng)絡(luò)廣告激增，另一方面則是攻擊者發(fā)現(xiàn)這種攻擊手段簡(jiǎn)直太容易了。它比攻擊網(wǎng)站輕松，而且廣告空間也不像攻擊網(wǎng)站那樣，有可能被逮到因此而付出代價(jià)。

第三方廣告內(nèi)容托管的風(fēng)險(xiǎn)

廣 告網(wǎng)絡(luò)和RTB的出現(xiàn)是對(duì)速度和效率的追求。因此，廣告位提供方大多不想在自己的服務(wù)器上存放廣告內(nèi)容。于是，常見(jiàn)的做法就是允許第三方內(nèi)容被放進(jìn)廣告里，實(shí)現(xiàn)豐富的在線(xiàn)廣告顯示。這種辦法對(duì)合法廣告而言很好，然而黑客也可以利用它在廣告中塞入他們自己的第三方服務(wù)器上的惡意Flash動(dòng)畫(huà)文件或 JavaScript腳本。這些文件通常不需要用戶(hù)交互就能觸發(fā)漏洞，僅僅是使用了沒(méi)打補(bǔ)丁的IE、火狐、Chrome等瀏覽器訪(fǎng)問(wèn)頁(yè)面，就會(huì)被隱形重定 向到含有滲透代碼工具的另一個(gè)網(wǎng)站上。這種工具包隨后會(huì)在受害者主機(jī)上留下攻擊代碼，可能是網(wǎng)銀木馬、點(diǎn)擊誘騙惡意軟件，甚或勒索軟件。

“在 2014年第四季度，我們看到了通過(guò)惡意廣告?zhèn)鞑サ睦账鬈浖﨏ryptowall的變種。奇怪的是，在過(guò)去3到5個(gè)月里，它并沒(méi)有大范圍傳播，但絕對(duì)出現(xiàn) 了更多的感染。這是違反直覺(jué)的，是來(lái)自攻擊者的一個(gè)大膽舉措。勒索軟件與傳統(tǒng)惡意軟件不同，它們通常希望保持隱秘。一旦中了勒索軟件的招兒，你要么支付贖 金，要么只有坐等系統(tǒng)被清空資料被清盤(pán)。從勒索軟件的使用我們可以看出，惡意廣告就是為了錢(qián)。”

　　羅伯特·漢森

作為與黑帽黑客對(duì)立的白帽黑客，漢森表示，用戶(hù)總能通過(guò)一些瀏覽器制造商或第三方提供的插件來(lái)屏蔽廣告。然而，選擇屏蔽廣告的用戶(hù)數(shù)量相對(duì)較少。

安全公司W(wǎng)hiteOps共同創(chuàng)始人兼CEO邁克爾·蒂凡尼認(rèn)為：

“巨大的市場(chǎng)壓力要求一切都自動(dòng)化。這方面你做得越好，發(fā)展便越快。但問(wèn)題在于，你怎樣在排除壞人的創(chuàng)新和自動(dòng)化的同時(shí)提供最大限度的開(kāi)放性。解決之道也許在于信譽(yù)系統(tǒng)。類(lèi)似保證網(wǎng)站和電子郵件完整性的信譽(yù)系統(tǒng)可以抑制惡意廣告的蔓延，作惡多端的用戶(hù)賬戶(hù)也會(huì)被封。你當(dāng)然清除不了所有的黑客攻擊方法，但必須能 讓這些攻擊不會(huì)大范圍成功。我對(duì)此持樂(lè)觀態(tài)度。”

　　邁克爾·蒂凡尼

惡意廣告已不再僅僅是點(diǎn)擊誘騙

許多大型網(wǎng)站都曾做過(guò)惡意廣告的幫兇，涉及范圍橫跨互聯(lián)網(wǎng)各方各面，包括大型新聞和娛樂(lè)網(wǎng)站、搜索引擎和其他很多站點(diǎn)。惡意廣告染指的范圍擴(kuò)大是不爭(zhēng)的事實(shí)——只要黑客們想這么干，而且攻擊者的收益也不僅僅局限于點(diǎn)擊欺詐。

幾乎所有惡意廣告都通向攻擊代碼工具包，一些像垂釣者(Angler)之類(lèi)的工具包還配有勒索軟件，這些贖金軟件能迫使用戶(hù)交出價(jià)值幾百美元的比特幣以贖回自己機(jī)器的控制權(quán)或解鎖被惡意軟件加密的文件。

去年十月Invincea發(fā)現(xiàn)了一起稱(chēng)之為“死亡點(diǎn)擊行動(dòng)(Operation DeathClick)”的高級(jí)持續(xù)性攻擊。這起攻擊中，惡意廣告進(jìn)入了有國(guó)家支持的針對(duì)國(guó)防工業(yè)基礎(chǔ)的攻擊領(lǐng)域。死亡點(diǎn)擊行動(dòng)的惡意廣告類(lèi)型相當(dāng)明確， 目標(biāo)的選擇基于一串長(zhǎng)長(zhǎng)的特征列表，包括像Flash、操作系統(tǒng)、Java和瀏覽器版本之類(lèi)的用戶(hù)代理字符串;基于cookie，與內(nèi)容相關(guān)的興趣點(diǎn);用 以鎖定特定行業(yè)、公司和個(gè)人的地理和基于公司的IP地址范圍。

阻止惡意廣告的商業(yè)動(dòng)機(jī)

從商業(yè)利益上來(lái)講，廣告商需要阻止惡意廣告的蔓延。但屏蔽廣告或者屏蔽網(wǎng)絡(luò)廣告的做法只能作為不得已而為之的最后手段，而且把已知惡意網(wǎng)站拖入黑名單盡管容易許多，但也同樣會(huì)被黑客快速放棄，因而也不見(jiàn)得是真正可行的選擇。

比如，Blue Coat的代理封鎖列表中就含有廣告競(jìng)價(jià)網(wǎng)絡(luò)，這對(duì)廣告網(wǎng)絡(luò)而言可不是好事。一旦被封鎖，就不能在企業(yè)環(huán)境中發(fā)布廣告。如果一家廣告網(wǎng)絡(luò)公司臭名昭著到被封了，會(huì)對(duì)其生意帶來(lái)嚴(yán)重的打擊。這是對(duì)過(guò)多分發(fā)惡意軟件的終極懲罰。

廣告網(wǎng)絡(luò)應(yīng)該有著盡可能干凈的動(dòng)機(jī)，達(dá)成這一目的的簡(jiǎn)便方法是自己的內(nèi)容自己管，但大多數(shù)廣告交易平臺(tái)都不想在創(chuàng)建自己的存儲(chǔ)空間上進(jìn)行投入。獲取最大控制 和讓這些煩心事消失的最佳方法就是在廣告交易系統(tǒng)批準(zhǔn)新用戶(hù)和新內(nèi)容的時(shí)候，內(nèi)容必須托管在交易系統(tǒng)上，而不是由第三方托管來(lái)發(fā)布。第三方托管發(fā)布就是黑 客能夠分發(fā)他們自己內(nèi)容的途徑。消除這一途徑是最佳也最快的減少惡意廣告的方法。

最后，不允許各式各樣的廣告代碼，除非這些代碼都在你的網(wǎng)站上，而且你還能證明代碼做的都是合法的事。不執(zhí)行額外的功能，不允許重定向，也不允許運(yùn)行代碼。

也許這樣做有些過(guò)于嚴(yán)厲，但相比于惡意廣告帶來(lái)的對(duì)廣告市場(chǎng)及用戶(hù)的雙重危害來(lái)說(shuō)，還是有必要的。

原文地址：http://www.aqniu.com/news/7221.html