Talos挫败ShadowGate重创全球恶意广告活动.PDFVIP

2 0 1 6 年 9 月 1 日，星期四 Talos 挫败ShadowGate ：重创全球恶意广告活动 作者：Nick Biasini。 漏洞攻击包是一类意图不加区别地危害所有用户的威胁。Talos 长久以来始终持续监控此类威胁， 不仅开展了大规模的调查研究，甚至使此类威胁遭受了巨大的打击。此项调查研究侧重于分析 攻击者用于促使用户感染漏洞攻击包的工具和技术。这篇博文旨在剖析全球恶意广告活动以 及用户与漏洞攻击包攻击入口交互的方式，无论用户访问什么网站，也无论他们身处哪个国 家/地区，都无法躲避这种影响。 Talos 针对大型恶意广告活动展开观察，此类广告活动的影响可能波及访问北美、欧洲、亚太 和中东地区网站的数百万用户。在此项调查研究中，我们最终与GoDaddy 合作，通过收回用 于托管此活动的注册人帐户并取消所有适用子域，缓解了此威胁。这无疑又是一个典范，借 此可以了解组织如何协作才能阻击这些对全球用户造成不良影响的威胁。如果您作为供应商或 在线广告公司希望与Talos 合作，请联系我们。 在线广告是当今互联网的一个关键组成部分，特别是对于提供免费内容的网站。在这篇博文 中，我们将讨论对各种网站造成不良影响的全球恶意广告活动。这些网站对此类恶意广告无 需承担责任；这正是在线广告的基本特征。随着安全组织识别和拦截恶意内容的能力日益提 高，攻击者也会不断翻新攻击花样，敏捷地发动攻击。恶意广告的优势在于，如果您访问同 一站点两次，不会收到相同的广告内容。正因如此，广告拦截程序、采用先进沙盒技术的浏 览器以及检测/防御技术等安全防护技术对于确保成功防范此类内容至关重要。 攻击入口概述 攻击入口是漏洞攻击包的初始重定向位置，它只是初始重定向（即受危害的网站/恶意广告） 与进行探测、危害和负载传输的实际漏洞攻击包之间的一个中介。这让攻击者能够快速更改 实际恶意服务器，而无需更改初始重定向，从而不必持续修改启动感染链的网站或广告，即 可延长漏洞攻击包活动的持续时间。在任何给定时间，总有一些攻击入口会主动将用户指向 漏洞攻击包，其中包括darkleech 、伪darkleech 、EITest 和ShadowGate/wordJS 。 它们所指向的漏洞攻击包可随着时间变化和演进。例如，让我们来看看EITest。此攻击入口 一开始是将用户定向至Angler 。在Angler 消失之后，它转移至Neutrino，而最近发现它又将 用户定向至Rig。大多数攻击入口都是如此，这也是我们认为Angler 目前处于不再活跃的主 要原因之一，因为自从 6 月份Angler 消失之后，这些攻击入口已纷纷转移至其他漏洞攻击包。 其中一些攻击入口似乎偏重于利用受危害的网站或恶意广告。EITest 似乎倾向于利用受危害 的网站，而ShadowGate 似乎侧重于恶意广告。 ShadowGate 背景 ShadowGate （影子入口）是Talos 赋予该特定攻击入口的名称，因其使用域名阴影技术来托 管攻击活动。这不是一种新攻击入口，至少自2015 年年初就已存在。ShadowGate 的突出特 征之一是流量与重定向量。在之前的研究中，Talos 观察到，尝试与ShadowGate 的交互超 过90 万例，但这些交互中仅有0.1% 实际上定向至漏洞攻击包。这有助于说明为何恶意广告 对于攻击者具有如此大的吸引力，因为它们会产生大量流量。这些仅仅是展示类广告，广告 只是呈现在页面上，而无需用户交互。这是一大重要特点，因为较之需用户交互的广告，展 示类广告更便宜、更简单。 该攻击入口的基本语法依赖于域阴影，使用两个基于英文单词的子文件夹和一个基于英文单 词的JavaScript 文件。以下是我们预期的shadowgate 语法示例： praised.hillarynixonclinton[.]net/poison/performs/dropdown.js 此外，ShadowGate 会不定期停止活动一段时间。然后再次开始活动，并继续将流量定向至 漏洞攻击包。直至 Angler 消失之前，ShadowGate 一直专门用于将用户定向至Angler 。如今， 这种流量则定向至Neutrino EK 实例。 在过去的一年中，ShadowGate 已使用各种阴影域。这一特定攻击活动至少在八月一直处于 活跃状态，并使用了如下域来掩盖其活动： merrybrycemas[.]com hillarynixonclinton[.]net