來自惡意廣告的新威脅

從根本上說，我們之所以能夠免費使用各種網絡服務是因為它們有在線廣告的支持。在線廣告是一個高達數十億美元的龐大業務，由大規模的多層次廣告網絡基礎設施所支持，其中不僅包括合法的廣告商也包括網絡罪犯。實際上，安全廠商Blue Coat 公司2011年網絡威脅報告指出：惡意廣告已經在2011年攀升至10大網絡攻擊方法中第3的位置。下面將介紹這種新現象的原理，以及如何最好地應對它的某些結論。

在線廣告與惡意廣告

廣告網絡采用附屬網絡營銷模式，其中廣告商與大量的出版商（有大有?。┖献鬟M行廣告宣傳。出版商會根據引向廣告商的流量來獲得廣告費。這個復雜的附屬網絡類似與出版商和附屬計劃之間的中介——B2B協議，根據訪問包含廠家在線廣告的頁面的訪問量、觀看量或點擊量付費。

這個基礎設施龐大而復雜，包含大量的微型交易、業務關系以及廣告與點擊鏈接目的地之間的聯系?？尚刨嚨拇笮椭麖V告網絡域可能向較小、新且不太值得信賴的廣告域外包業務。由于廣告投放商和廣告投放地點之間有著多層次的分離和自動化，信譽和信任度經常是假定或通過附屬網絡層繼承得來。

網絡罪犯喜歡利用其他人的信任和信譽——及其基礎設施——向盡可能多的人提供惡意軟件。向合法廣告網絡注入惡意廣告讓網絡罪犯能夠廣撒網而不會露出痕跡。

網絡罪犯將：

-> 創建一個無害的新廣告或廣告域——一旦獲得大多數防御措施的信任和允許，即轉化為某些具有威脅的東西；

->或，感染其他人的可信網絡廣告，使用與感染可信、高信譽網站相同的注入或感染方法。

惡意廣告活動就類似于任何實際的廣告活動，但會突然或靜悄悄地重新改動廣告本身或其鏈接以提供惡意軟件負載。此負載然后會感染用戶的計算機、盜竊登錄名和密碼或從用戶處盜竊金錢或數據。

我們首先看一下廣告如何從附屬網絡進入網頁，以及網絡罪犯如何利用已經成為網絡廣告領域特征的附屬網絡基礎設施。

通常，網站擁有者向與其有關系的主廣告商提供廣告空間。這是一個自動化過程：當某個頁面因為某個新聞等原因受到大量訪問時，文章中的關鍵詞即發送給主廣告商的軟件。例如，‘高爾夫’、‘佛羅里達’和“奢侈”等關鍵詞針對的是有興趣到佛羅里達海島度假的高端消費人群。這款軟件尋找是否有與其高度相關的廣告。如果主廣告商沒有針對這些人群的廣告，或廣告成本超過了客戶的預算，這款軟件就會從其附屬網絡中尋找針對性不那么高的廣告（費用更低）。如果此附屬網絡沒有合適的廣告或不愿意為普通廣告支付二級費用，他們可以從他們的附屬網絡中尋找低廉/普通廣告。這個產業鏈會一直找下去。

很明顯，這個附屬/合作伙伴/子附屬協議網絡以及廣告網絡之間模糊的責任為惡意廣告或惡意廣告域提供了鉆空子的良機。

現在，像所有網絡廣告一樣，惡意廣告也會有針對性（通過“結算中心”或“數據保護”等關鍵詞）地讓廣告的效果最大化，并且他們在網站之間創建動態但有針對性的鏈接，目的就是吸引特定類型的受眾。

試圖繞過安全措施的轉變和時機戰術

惡意廣告攻擊的一個主要特征是惡意廣告或廣告域將從無惡意內容開始以多次通過安全軟件的檢查，從而獲得干凈的評價和良好的信譽。

就像間諜小說中的潛伏者，耐心會得到回報?；ㄙM時間在廣告網絡中獲得良好的聲譽并通過多次惡意軟件掃描，網絡罪犯在網絡廣告結構中贏得了可信賴的寶貴信譽，然后發動攻擊。當潛伏者啟動后，廣告背后的路徑就會改變，把點擊導向惡意軟件主機，而此惡意軟件連接能夠在有針對性的活動中執行最邪惡的任務。第二天，他們就消失了。

網絡罪犯的惡意廣告戰術傾向于在周末發起攻擊，因為周末時IT工作人員比較少，防御尚未更新，這就使得攻擊被發現的可能性降低。記住，典型的網絡防御都需要更新——在安全系統能夠對新威脅采取措施之前，必須應用新的數據庫。

應對惡意廣告的基礎性技術

網絡罪犯經常等待數個月的時間來建立合法的廣告基礎設施，目的是在最合適的時間攻擊用戶并騙過以前基于信譽的防御。很明顯，當面臨惡意廣告時，安全系統不能依賴信譽來判斷需要阻止哪個廣告。相反，我們需要的先進安全系統應該能夠實時評價網絡屬性以及他們所依賴的廣告。

類似地，我們不能等待在計算機上安裝“安全更新”，它或許已經太遲了。如果安全系統有任何“點擊此處更新定義文件”等要求，它就很可能無法保護用戶，特別是在周末。對在家、路上或辦公室的用戶的保護必須按需提供，你應當尋求基于某種云安全模式的安全系統，它能提供按需保護。

惡意軟件攻擊的剖析

下面是Blue Coat安全實驗室近期在印度發現的一起典型惡意軟件事件。

像世界上的很多免費新聞網站一樣，印度的一家主要娛樂新聞網站 – screenindia.com – 通過廣告生存。

其中一個第三方廣告鏈接至doubleclick.net，一個知名、受尊重的廣告域。在這個情況下，此廣告是受感染的可信廣告。

從doubleclick.net，一些JavaScript引向了daniton.com，這看上去是此附屬網絡值得信賴的一部分。

在最初訪問daniton. Com時，此廣告網站未作任何事情，但后續的訪問提供了一段加密的JavaScript。

來自daniton.com的這個JavaScript會在原始主機頁面注入iFrame標簽。

此iFrame偷偷地請求用戶的網絡瀏覽器調用真正的惡意軟件主機（有趣的是，它的地址每天都在變化），從而下載PDF漏洞文件。

另外也比較有趣的是：此iFrame的一個功能是查找用戶機器上Acrobat Reader的版本，以便利用針對此版本的漏洞，從而達到盡可能最好的效果。