威胁聚焦：隐藏在博彩广告背后的恶意软件-Cisco.PDFVIP

2 0 1 6 年 5 月 3 日，星期二 威胁聚焦：隐藏在博彩广告背后的恶意软件 本文由Nick Biasini 在 Tom Schoellhammer 和Emmanuel Tacheau 的帮助下完成编写。 威胁形势变幻莫测，网络攻击者一直在不断探寻更有效的方法来危害用户。他们会通过各种 手段促使用户查看恶意内容，其中的一种手段是使用恶意广告。Talos 一直在监控多个大规 模恶意广告活动，观察它们如何发起首次漏洞攻击，以及因此下载的负载。 在正常的广告活动中，广告代理会在出版物及其他流量较大的网站上购买广告空间，然后尝 试将他们的广告推送给符合某些条件的用户，希望用户点击广告后跳转至产品页面或其他位 置。为特定产品推送广告的行为统称为“推广”。恶意广告的推广与之类似。攻击者会向代 理购买广告空间，并针对符合特定条件的用户进行推送。作为感染手段，一种可能是恶意广 告内容本身会使用户的计算机感染病毒，另一种可能是用户在点击这些诱人的恶意广告后， 会被带至能使用户计算机感染病毒的位置。用户计算机在初次感染病毒后，通常会下载另一 个负载。 网络攻击者利用恶意广告的原因非常多。要想通过网络感染用户计算机，网络攻击者需要先 解决一个基本问题：如何诱使用户上当？解决这个问题的一种方法是感染热门网站。成功感 染热门网站后，黑客就有机会感染每一个访问该网站的用户。不过这种方法存在许多难点。 一个主要的难点是，热门网站通常有专门检测和清理病毒感染的IT 人员，因此这些感染很难 保持不被检测到，或者只能在短期内保持不被检测到。 与这种入侵大型网站，并保持不被其所有者发现，以感染网站用户的方法相比，购买热门网 站上的广告空间就容易得多。通过在此类网站上购买广告空间，黑客只需花费极少的费用， 即可解决入侵和隐藏上的难题，并感染网站的用户。此外，广告代理创造收入的主要途径是 确定满足特定条件（包括浏览器类型、版本和插件等信息）且有可能点击广告的目标用户， 这进一步使广告成为有效感染用户的极佳媒介。网络攻击者可以得到的另一个好处是，安全 研究员更难注意到这些恶意广告，因为这种漏洞利用过程涉及广告代理。使用恶意广告还使 威胁可以在伪随机时间间隔内在多个网站传播，因此即使在一个网站上发现了这种威胁，它 仍然可以轻易地在下一个不相关的其他网站上弹出。 攻击活动详情 2015 年 10 月，Talos 发现了一个特别有趣的广告：它会将用户重定向至各种漏洞攻击包， 继而由漏洞攻击包提供各种负载。其中大多数负载都是勒索软件变体。下面是其向最终用户 显示的实际广告。 此广告伪装成一个博彩网站 ，而且是位于德国。它看起来与其他博彩广告没 有区别，但其后台操作却颇耐人寻味。 广告背后的代码中隐藏着一个JavaScript 链接。 这正是恶意重定向所在的位置，而不是点击者想要访问的博彩内容。通过捕获与此事务相关 的HTTP 报头，我们发现了以下内容： 搜寻和破解漏洞攻击包的人应该对这些内容很熟悉：这是一个指向Angler 登录页面的链接。 通过在不同的系统上托管实际的恶意重定向，网络攻击者可以快速更改目标。我们不仅发现 了到Angler 的重定向（如上所示），还发现了到iframe 的重定向，如下所示： 这对于搜寻和破解漏洞攻击包的人来说应该也很熟悉：这是一个指向Rig 登录页面的URL。 在这个攻击活动中，我们反复看到一个基本操作，那就是从硬编码 IP 23 中获取的 名为cookie.php 的脚本。不同的是其所在的子文件夹。下面是我们看到的托管此cookie.php 文件的不同文件夹结构的几个示例： 23/switch/cookie.php 23/socket/cookie.php 23/php/cookie.php 23/xml/cookie.php 还要注意的另一件事是位置的使用。代码中一直在使用[position:absolute;left:-10000px;]，这 会有效地实现iframe 离屏渲染。这个特殊位置参数会确保iframe 在离屏幕左边缘左侧2 英 尺处加载，确保用户永远不会真正看到恶意内容，而是直接被定向至漏洞攻击包，最终受到 攻击。 负载 虽然漏洞攻击包下载了各种各样的负载（包括木马），但大多数负载都是勒索软件的某种变 体。我们看到的不同版本包括Teslacrypt 和Cryptowall。 在这些负载中，有一个异常负载产生了一些奇怪的 HTTP 流量。我们在处理这些网络流量时， 发现弹出了以下内容： 我们开始看到从受感染系统不断发出重复的randomstring.php HTTP 请求。毫无疑问，系统 收到了一个404 响应。