2017.3.15 | Zain Gardezi著 | Threat Research,Advanced Malware

恶意广告是指在线广告网络平台有意或无意在网站上提供的流氓广告。恶意广告是种”drive by”威胁，这种威胁会导致用户在访问网站时被恶意软件感染。这种威胁的受害者在恶意广告把他们引导包含Exploit Kit(EK)的登陆页时，通常都会妥协。依靠运行在用户系统上的应用程序，EK能成功地在系统中载入恶意软件而不需要经过用户的同意且不会警告受害者有可疑的程序正在运行。

对于普通的广告服务器来说，重定向到附属网络并不罕见。这些附属网络将流量转发到支持其他恶意域名，这些其他域名被称之为”Cushion Servers”或”Shadow Servers”。在EK的控制下，一些cushion servers使用HTTP重定向，例如301/302/303等等，或是简单的使用iframe重定向。在另一些例子中，访问者接收到包含攻击者注入的脚本的页面。这通常会导致一个严重的漏洞，攻击者可以利用他们的优势。一些事件中使用”domain shadowing”技术把自己伪装成合法的广告商以欺骗广告服务器。

在这个博客中，我们将观察一些在过去的4个月里著名的恶意广告，以及不同的exploit kits的cushion server。

Magnitude EK

如图1所示，Magnitude EK是一个流行在亚太地区的exploit kit。在2016年的最后一季度和2017年的第1个月，FireEye Dynamic Threat Intelligence(DTI)对主要居住在亚太地区的用户在Magnitude EK的点击数进行了调查。

图1：过去 4 个月中 DTI 观察到的 Magnitude EK 的地区分布

在所有案例中，Magnitude EK 使用下列 header 信息感染 web 服务器：

“Apache/2.2.15 (CentOS) DAV/2 mod_fastcgi/2.4.6”.

一次成功的Magnitude EK注入遵循图2所示的步骤。

图2：Magnitude EK的恶意广告的典型步骤

图3：包含注入了重定向脚本的第一层域名的TLD分布

在过去的4个月里，各种不同的恶意广告活动都与一些第一层中转页面有关(TLD分布如图3所示)，我们将基于一些共性指标来讨论这些页面。这些第一层中转页面使用相同的注入脚本用于重定向到Magnitude EK。图4展示了一个典型的用于攻击活动的注入脚本。

图4：典型的用于重定向到Magnitude域名的恶意注入脚本

在所有被观察的例子中，这些注入脚本只会在网站(大部分都有很高的Alexa排名，我们将进一步解释)通过广告来载入的时候出现，而在那些链接被直接访问的时候不会出现。

FireEye的警告已经使许多这样的攻击活动被关闭，这些攻击活动只在他们各自的部分被提及。

通过Propeller广告平台

表1显示了我们观察的域名，这些包含了重定向注入脚本的域名充当了到由广告商分布的Magnitude EK的第一层中转域名，广告商们把这些域名托管在Webzila B.V的域名托管服务上。

表1：这次攻击活动中包含重定向注入脚本的域名

这些域似乎是由同一个人创建的，因为它们有相似的URI和域名特征，一个域名在使用了一定次数之后又转换到一个新的域名。托管在活动域名的当前IP是37.130.229.108。表1中的域名由表2中的下列广告商重定向。

表2：攻击活动中使用的广告

这次攻击活动中一个典型的URI像这样：

btcpaying[.]uk/?reg=asia&traff=propeller

某些少见的场合中，攻击活动也使用托管在Cloudflare的广告商poptm[.]com，但大部分使用在表2中的广告平台。

一些恶意广告把用户引导到Flash游戏网站。在这些例子中，域名中包含单词”finance”被用于作为重定向到托管主机Magnitude EK注入脚本的第一层中转。这些Flash网络以’AlpNames Limited’进行登记，托管在德国的PlusServer AG server ISP。

所有网站的登记者的信息都是相似的。这些登记者的名字都是由’Bill’和’Guil’进行一点点变化而来的(例如：’Billii’,’Billy’等等)。登记号一贯是+1.228516 1853 或 +1.7137015286。

表3列出了这些Flash游戏网站的名字，表4列出了他们的恶意广告信息。

表3：这次攻击中包含重定向注入脚本的域名

表4：这次攻击中的广告

click.seodollars[.]com中的广告似乎使用了domain shadowing技术，另他的是合法的广告商。

根据FireEye的通知，AlpNames Limited 的登录员已经把这次攻击活动中的域名关闭了。

TTA Adults Limited使用Adcash Ad Group

这种第一层中转域名登记在[.]organisation下：TTA ADULTS LIMITED。在所有的例子中，登记者的信息像下面这样：

Registrant Name: Andrew Musgrove
Registrant [.]organization: TTA ADULTS LIMITED
Registrant Street: FOURTH AVENUE UNIT 1B FOCUS 4  
Registrant City: LETCHWORTH
Registrant State/Province: Hertfordshire
Registrant Postal Code: SG6 2TU
Registrant Country: GB
Registrant Phone: +44.7538421640
Registrant Phone Ext:
Registrant Fax:Registrant Fax Ext:
Registrant Email: musgroveandrew1@gmail[.]com

包含这些登记信息的域名被重定向到Adcash group下属的广告商。

表5列出了这些攻击活动中的域名，表6列出了他们的恶意广告信息。

表5：这次攻击活动中包含重定向脚本的域名

表6：这次攻击活动中的广告

Adcashd 在收到FireEye的通知后关掉了这些域名的账号。

China Coast

这种第一层中转域名登记在[.].norganisation下：China Coast。在所有例子中，登记者信息像下面这样：

Registrant Name: Goran L Deelen
Registrant [.]organization: China Coast
Registrant Street: Davisstraat 27  
Registrant City: Amsterdam
Registrant State/Province: Noord-Holland
Registrant Postal Code: 1057 TG
Registrant Country: NL Registrant Phone: +31.645495613
Registrant Phone Ext:
Registrant Fax: Registrant Fax Ext:
Registrant Email: antoni309233@gmail[.]com

能过不同的域名类型，恶意广告能被进一步分类。一些来自于台湾的域名流量被重定向到ads.adamoads[.]com(一个中国广告网站)，其它细节如表7所示。

表7：这次攻击活动中的域名和服务。

这次攻击活动中的一些恶意广告通过其他广告网站被重定向。包括：

·         adexchangeprediction[.]com被观察到从serve.popads[.]net重定向而来。

·         n152adserv[.]com从engine.phn.doublepimp[.]com重定向而来。

这次攻击活动中，下列欺诈广告子域名使用了domain shadowing技术。

·         syndication.exoclick[.]com

·         track.reacheffect[.]com

表8：列出了Magnitude EK的其他恶意广告的例子。

表8：其它重定向到Magnitude EK的域名和广告服务。

Rig EK

Rig EK作为拥有最丰富的攻击工具的exploit kit出现在2016年的下半年。这次攻击活动中它的使用也是可以找到痕迹的，例如EITest Gate, Pseudo-Darkleech和Afraid Gate，它们都在合法的网站中注入重定向脚本。然而，根据这个博客的主题，我们将会专注于这次攻击活动中值得注意的被重向向到Rig EK域名的恶意广告。

Casino Theme AD Domains

从2016年的最后一季度到2017年1月，我们发现[.]info和[.]pw TLD域名作为重定向域名的中转站，被合法的广告商所调用，最终被重定向到Rig EK域名。这些域名通常都在内容中注入了含有恶意的iframe，最终重定向到Rig EK的域名。图5显示了这种攻击活动正常的工作流程。

图5：托管在Google Cloud ISP的广告平台

图6显示了广告是怎样通过302重定向载入casino-themed域名的。广告服务载入了这些网站，这些网站作为shadow服务器再把用户进一步重定向到exploit kits，如图7和图8所示

图6：302重定向到holdem-pokers.info

图7：第2层IP域名上，从第1层域名重定向到.pw域名的恶意iframe

图8：第2层域名里载入Rig EK的恶意iframe标签

这次攻击活动中，最近的whois信息像下面这样：

Registrant Name: sergei sergeev
Registrant organization: Private Person
Registrant Street: novoselov 44
Registrant City: ekaterinburg
Registrant State/Province: sverdlovskaya
Registrant Postal Code: 140530
Registrant Country: RU
Registrant Phone: +7.9868847677
Registrant Email: fobos@mail.ru

Admin Name: sergei sergeev
Admin [.]organization: Private Person
Admin Street: novoselov 44
Admin City: moscow
Admin State/Province: moscow
Admin Postal Code: 140530
Admin Country: RU
Admin Phone: +7.9868847677

在同一次攻击活动中，whois的信息只有轻微的变化。但organization name,state和country仍然是一样的。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课