從雅虎廣告網路遭惡意廣告入侵,談惡意廣告的運作模式與防範之道

趨勢科技 TrendMicro Deep Discovery, Deep Security, malvertising 惡意廣告, 惡意廣告Malvertising

惡意廣告並非新的產物;它是已經存在了十多年的犯罪手法。早在 2004年,就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情,它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間,許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報Google赫芬頓郵報等數不清的例子。

8 月發生了一件聯合網路犯罪攻擊,Yahoo 的廣告網路遭到襲擊,使得每月造訪該網站的 69 億人可能因而陷入危險。歹徒運用的是最新的威脅,例如:惡意廣告(malvertising)和漏洞攻擊套件。

惡意廣告(malvertising)是一些由網路犯罪者製作並刊登在網站上的廣告,只要是瀏覽了刊登這類廣告的網站,使用者就有可能遭殃,因此對整個廣告供應鏈帶來嚴重的影響。此次案例,網路犯罪集團利用了用戶數量龐大的 Microsoft Azure 服務網站來提高其潛在受害者數量。這樣的作法屢見不鮮,歹徒經常利用一些熱門的話題並滲透相關的網站。此外,歹徒也滲透了 Yahoo 這個全球最大的廣告網路之一,因此可能的感染數量相當可觀。而且,惡意廣告的運作模式是,使用者不須點選惡意廣告就可被感染。正因如此,一些不知情的使用者才會光是連上有問題的網頁就遭到感染。

【編按】由於網路犯罪集團越來越常利用惡意線上廣告來攻擊使用者,所以使用者經常會在購物網站、新聞網站、社群媒體以及遊戲網站看到這類廣告。
進一步了解惡意廣告感染使用者裝置方式,建議閱讀惡意廣告Malvertising:當廣告出現攻擊行為

網路犯罪使用漏洞攻擊套件的頻率越來越高,因為這類攻擊套件非常容易取得而且不貴。此次攻擊使用的是 Angler 漏洞攻擊套件來感染已入侵網站的訪客。漏洞攻擊套件的作者們非常積極地在第一時間搶先收錄最新曝光的漏洞。如下圖所示,許多今年才曝光的 Adobe Flash 漏洞都已收錄到 Angler 攻擊套件當中。

尤其,CVE-2015-0313 已在今年稍早一起非常類似的攻擊當中出現過。駭客利用這個漏洞攻擊套件在一些已遭入侵的網站上顯示惡意廣告。

另一項發展趨勢是,歹徒喜歡串聯多種技巧來提高感染率,包括:

  1. 在已入侵的知名網站上植入第一波感染陷阱。由於資安廠商會害怕因誤判而造成網站的損失,因此一般不會將知名網站標記為危險,所以更讓歹徒有機可乘。此外,這類網站大多有穩定造訪人次。
  2. 利用不需使用者點選或下載就能造成感染的惡意廣告。惡意廣告無所不在,雖然大多數的使用者都對它們習以為常,但卻也不會阻止它們執行。歹徒只要入侵廣告網路的伺服器,就能將所有刊登惡意廣告的網站變成感染的跳板,這樣一來,歹徒就不需逐一入侵每一個網站。
  3. 使用漏洞攻擊套件來攻擊多項漏洞。歹徒只要能抓到一個尚未修補的漏洞,就能得逞。例如前面所說的 Angler 攻擊套件就收錄了 10 個最新的 Flash 漏洞,但它收錄的還不只這些,還有 IE、Java、Silverlight 等軟體的漏洞。很多使用者和企業或許缺乏有效的系統修補程序來應付網路犯罪集團快速攻擊最新漏洞的能力。

對於擔心這項攻擊或任何類似手法的使用者,建議建置一套多層式的防護,包括:

  1. 在端點上使用網站信譽評等和/或網站過濾技術。雖然趨勢科技不會將知名的網站列入黑名單,但我們的端點防護卻有能力攔截惡意廣告本身。這樣就能防範第一波感染。
  2. 建置「瀏覽器漏洞防護」。我們經常看到歹徒利用網站來攻擊瀏覽器的漏洞。瀏覽器漏洞防護技術可透過經驗法則來偵測已知及未知 (零時差) 漏洞。趨勢科技端點防護產品也同樣具備這項技術。
  3. 採用虛擬修補技術。許多情況下,廠商釋出的修補程式可能因為企業嚴格的修補程式把關程序而無法立即部署。此時,虛擬修補技術就能防止歹徒經由漏洞來入侵系統,讓使用者和企業確實防範端點裝置和伺服器遭到漏洞攻擊的危險。趨勢科技Deep Security 和 Vulnerability Protection 解決方案都具備這項技術。
  4. 採用客製化沙盒模擬分析技術。這項技術可在一個安全的隔離環境當中觀察惡意程式如何執行。趨勢科技Deep Discovery  解決方案已在許多案例當中預先發現一些惡意的下載檔案與有害的電子郵件附件檔案,並防止客戶受到感染,甚至還曾發現最新的零時差惡意程式。

今日的威脅是複雜而多面向的,因此,任何單一面向的產品,如惡意程式防護,都不足以對抗今日的威脅。唯有採用多層式的防護,才能降低您的風險,包括採用一套具備多重技術的端點防護產品,或者是在網路上部署多套防護。

雖然這次攻擊並非新的威脅,但卻再次提醒我們,歹徒會無所不用其極地利用各種手法來提高感染率。為此,趨勢科技將不斷努力提升我們的防護能力,讓客戶盡可能降低感染的風險。

原文出處: Advising You about Malvertising |作者:Jon Clay

【延伸閱讀】
惡意廣告Malvertising:當廣告出現攻擊行為
惡意廣告:安靜卻致命
一個月來第3個!Adobe Flash零時差攻擊,隱藏於惡意廣告中
2015 上半年行動威脅情勢:每兩個網路銀行 App 程式就有一個是惡意或假冒的程式
廣告網路被入侵,使用者成為Nuclear漏洞攻擊包的受害者

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

 

相關文章:

Google Play 出現53個會竊取 Facebook 登入憑證的惡意廣告程式
Locky 勒索病毒變種來襲!鎖定廣告伺服器,台灣遭攻擊排行第一 !
【密碼管理】Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧
【密碼管理】Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!