MadAdsMedia,這是一家美國的網路廣告商,最近遭受到網路犯罪份子的入侵,導致使用他們廣告平台的網站帶給訪客出自Nuclear漏洞攻擊包的Adobe Flash漏洞攻擊。每天有多達12,500名的使用者可能受到此威脅的影響;其中有三個國家佔了一半以上的點擊量:日本、美國和澳洲。
圖1、這次攻擊最早出現在四月,雖然流量相較起來比較低。受影響使用者的數量在五月初開始出現顯著成長,在5月2日達到每日12,500名受影響使用者的高峰。
最初,趨勢科技認為這是另一種型態的惡意廣告,但後來所發現的證據顯示並非如此。一般的惡意廣告攻擊會是由攻擊者所註冊廣告軟體來觸發的重新導向。但在MadAdsMedia事件中並非如此。我們看到其JavaScript 程式庫的網址出現異常行為 – 這原本是用來分配廣告如何顯示在客戶網站:
圖2、JavaScript程式庫網址提供JavaScript,就如預期的一般
趨勢科技的調查顯示該網址並不總是提供JavaScript程式碼,有時候會重新導向到Nuclear漏洞攻擊包伺服器:
圖3、JavaScript程式庫網址導到Nuclear漏洞攻擊包伺服器
這讓我們得到該廣告網路用來儲存JavaScript程式庫的伺服器被入侵的結論。MadAdsMedia服務了世界各地的網站,幾個受影響網站似乎跟動漫作品有關。
所使用的Flash漏洞攻擊碼針對CVE-2015-0359,這是今年四月才修補的一個漏洞。有些使用者可能還在使用舊版本的Flash,因此處在危險中。這個Flash漏洞攻擊碼是經由Nuclear漏洞攻擊包派送,這個攻擊包在持續更新中,加入了新的Flash漏洞攻擊碼,並且跟加密勒索軟體有關。
在此案例中,我們所分析到的感染鏈最終會帶來BKDR_GLUPTEBA.YVA。我們已經聯絡了MadAdsMedia,幸運的是他們很快就此問題進行調查並採取行動。
解決方案和最佳實作
像這類攻擊突顯了廣告網路保護其基礎設施安全免於攻擊的重要性。確保網頁伺服器和應用程式安全將有助於確保對其業務和客戶的保護。
而在另一方面,一般使用者必須要將常用的網路外掛程式保持在最新狀態。使用最新版本Adobe Flash Player的使用者不會有此危險。每個月的Adobe更新發布都大約跟週二修補日(每個月的第二個禮拜二)相同時間;這是個很好的時間讓使用者去預防性地維護他們的電腦。
趨勢科技Deep Security可以保護使用者系統免於利用此漏洞的威脅攻擊。趨勢科技的端點解決方案也可以防護惡意軟體和其他相關攻擊。
更新於2015年5月8日:
一位來自MadAdsMedia的代表跟我們分享關於此報告的官方回應:
注意到我們網路出現可疑活動後不久,我們就展開了調查。之後不久,趨勢科技聯繫了我們;他們所提供的研究細節對我們消除此一威脅發揮了至關重要的作用。我們提供趨勢科技的資料給我們的代管公司GigeNET.com,他們迅速地採取了行動。在幾個小時內,GIGENET確認了入侵行為,同時保護了網路。我們感謝趨勢科技和GIGENET對於保護使用者所做的努力。
更新於2015年5月11日
最終的惡意軟體一開始被偵測為TROJ_CARBERP.YVA,現在被偵測為BKDR_CARBERP.YVA以反應進一步的分析結果。
更新於2015年5月15日
原本被偵測為BKDR_CARBERP.YVA的最終惡意軟體現在被偵測為BKDR_GLUPTEBA.YVA。
@原文出處:Ad Network Compromised, Users Victimized by Nuclear Exploit Kit作者:Joseph C Chen(網路詐騙研究員)
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接