廣告屏蔽工具已經(jīng)稱(chēng)為我們對(duì)抗惡意廣告活動(dòng)最后的希望了,但這個(gè)最后的保護(hù)屏障似乎也已經(jīng)坍塌了。因?yàn)镸alwarebytes近期發(fā)布了一項(xiàng)研究報(bào)告并詳細(xì)介紹了一種惡意廣告活動(dòng),而這種惡意廣告活動(dòng)可以成功繞過(guò)廣告攔截工具并發(fā)送惡意Payload。
這個(gè)惡意廣告活動(dòng)名叫RoughTed,根據(jù)Malwarebytes安全研究專(zhuān)家Jérôme Segura透露的信息,雖然這個(gè)惡意廣告活動(dòng)在2017年3月份才被他發(fā)現(xiàn),但目前有足夠的證據(jù)可以表明RoughTed已經(jīng)上線(xiàn)超過(guò)一年之久了。從攻擊者的角度來(lái)看,這個(gè)惡意廣告活動(dòng)設(shè)計(jì)得非常復(fù)雜,它利用了多種黑客技巧來(lái)掩蓋自己的活動(dòng)蹤跡,所以我們直到現(xiàn)在才發(fā)現(xiàn)這個(gè)惡意廣告活動(dòng)。
“多樣性”這個(gè)詞用來(lái)形容RoughTed是最合適不過(guò)的了,這個(gè)惡意廣告活動(dòng)背后的攻擊者不僅可以提供多種不同來(lái)源的網(wǎng)絡(luò)數(shù)據(jù),而且還在惡意廣告活動(dòng)中添加了各種不同的用戶(hù)指紋識(shí)別技術(shù),并通過(guò)惡意廣告活動(dòng)來(lái)傳播不同的惡意Payload。
Adf.ly、Extra Torrent和Openloud都在傳播惡意廣告
這個(gè)惡意廣告活動(dòng)可以在成百上千家網(wǎng)站中顯示惡意內(nèi)容,其中的某些網(wǎng)站為小型的個(gè)人網(wǎng)站,但也有很多AlexaTop 500的網(wǎng)站也出現(xiàn)在了我們的名單里。Malwarebytes表示,他們已經(jīng)在例如Adf.ly、Extra Torrent(已下線(xiàn))、Openloud和Ouo.io等熱門(mén)網(wǎng)站上檢測(cè)到了RoughTed的身影。
根據(jù)Segura透露的信息,自從研究人員開(kāi)始跟蹤這個(gè)惡意廣告活動(dòng)之后,RoughTed域名在過(guò)去三個(gè)月內(nèi)的訪(fǎng)問(wèn)量已累計(jì)超過(guò)十億次了。Segura還表示,他們?cè)诤芏嘈⌒途W(wǎng)站的源代碼中發(fā)現(xiàn)了攻擊者所注入的惡意廣告代碼,但目前還不清楚這些惡意代碼是網(wǎng)站管理員插入的還是攻擊者在入侵了網(wǎng)站之后才插入的。
RoughTed采用了非常激進(jìn)的指紋收集策略
這個(gè)惡意廣告活動(dòng)會(huì)在目標(biāo)用戶(hù)的瀏覽器后臺(tái)加載各種惡意腳本,這些惡意代碼會(huì)將用戶(hù)的訪(fǎng)問(wèn)鏈接進(jìn)行重定向,并通過(guò)將用戶(hù)重定向至各種不同的URL來(lái)達(dá)到攻擊者的檢測(cè)目的。
Segura認(rèn)為,這種激進(jìn)的用戶(hù)指紋收集策略一般來(lái)說(shuō)是不會(huì)出現(xiàn)在惡意廣告活動(dòng)之中的,因?yàn)檫@種行為嚴(yán)重侵害了用戶(hù)的隱私權(quán)。在RoughTed中,攻擊者所要檢測(cè)的內(nèi)容包括瀏覽器類(lèi)型、操作系統(tǒng)版本、系統(tǒng)語(yǔ)言設(shè)置以及地理位置信息等等。Segura表示,其中的某些惡意腳本是經(jīng)過(guò)攻擊者精心設(shè)計(jì)的,當(dāng)用戶(hù)偽造自己的用戶(hù)代理時(shí),這些腳本都能夠迅速檢測(cè)到。這些腳本不僅使用了基于canvas的標(biāo)準(zhǔn)HTML5指紋識(shí)別技術(shù),而且還使用了例如檢測(cè)已安裝字體列表這樣的新型技術(shù)。不僅如此,RoughTed還可以根據(jù)目標(biāo)用戶(hù)不同的操作系統(tǒng)版本來(lái)執(zhí)行不同的惡意腳本。
廣告屏蔽工具也無(wú)法阻擋RoughTed
在RoughTed中有一個(gè)最引人關(guān)注的腳本,這個(gè)腳本可以檢測(cè)用戶(hù)是否正在使用廣告屏蔽插件,如果正在使用的話(huà),它可以想辦法繞過(guò)這個(gè)屏蔽系統(tǒng)。例如Adblock Plus、uBlock origin或AdGuard的用戶(hù)近期就曾報(bào)告稱(chēng),有惡意廣告破解了他們的廣告屏蔽工具,并在廣告屏蔽工具處于開(kāi)啟狀態(tài)時(shí)不斷在瀏覽器中顯示惡意內(nèi)容。
不過(guò)Segura表示,具備這種能力的惡意廣告活動(dòng)并非只有RoughTed,還有很多其他的惡意廣告攻擊者同樣也會(huì)使用類(lèi)似的繞過(guò)技術(shù)來(lái)繞過(guò)廣告攔截工具。Malwarebytes的專(zhuān)家表示,其他的惡意活動(dòng)也會(huì)使用類(lèi)似的代碼,但RoughTed的規(guī)模要更大一些。
總結(jié)
當(dāng)廣告攔截工具的技術(shù)維護(hù)人員正忙著跟廣告商以及網(wǎng)站管理員勾心斗角時(shí),攻擊者此時(shí)又在背后悄悄地開(kāi)發(fā)各種各樣的繞過(guò)工具。但根據(jù)目前的情況來(lái)看,RoughTed可不是一個(gè)普通的惡意廣告活動(dòng),攻擊者的目標(biāo)是多樣化的,RoughTed可能會(huì)進(jìn)行的惡意活動(dòng)包括以下集中:
-傳播漏洞利用工具;
-通過(guò)偽造的技術(shù)支持頁(yè)面實(shí)施網(wǎng)絡(luò)詐騙;
-在Mac端顯示惡意廣告(軟件下載又額面);
-加載Chrome流氓插件;
-進(jìn)行各種在線(xiàn)調(diào)查與數(shù)據(jù)收集活動(dòng);
| 
