2017.3.15 | Zain Gardezi著 | Threat Research,Advanced Malware

恶意广告是指在线广告网络平台有意或无意在网站上提供的流氓广告。恶意广告是种”drive by”威胁，这种威胁会导致用户在访问网站时被恶意软件感染。这种威胁的受害者在恶意广告把他们引导包含Exploit Kit(EK)的登陆页时，通常都会妥协。依靠运行在用户系统上的应用程序，EK能成功地在系统中载入恶意软件而不需要经过用户的同意且不会警告受害者有可疑的程序正在运行。

对于普通的广告服务器来说，重定向到附属网络并不罕见。这些附属网络将流量转发到支持其他恶意域名，这些其他域名被称之为”Cushion Servers”或”Shadow Servers”。在EK的控制下，一些cushion servers使用HTTP重定向，例如301/302/303等等，或是简单的使用iframe重定向。在另一些例子中，访问者接收到包含攻击者注入的脚本的页面。这通常会导致一个严重的漏洞，攻击者可以利用他们的优势。一些事件中使用”domain shadowing”技术把自己伪装成合法的广告商以欺骗广告服务器。

在这个博客中，我们将观察一些在过去的4个月里著名的恶意广告，以及不同的exploit kits的cushion server。

Magnitude EK

如图1所示，Magnitude EK是一个流行在亚太地区的exploit kit。在2016年的最后一季度和2017年的第1个月，FireEye Dynamic Threat Intelligence(DTI)对主要居住在亚太地区的用户在Magnitude EK的点击数进行了调查。

图1：过去 4 个月中 DTI 观察到的 Magnitude EK 的地区分布

在所有案例中，Magnitude EK 使用下列 header 信息感染 web 服务器：

“Apache/2.2.15 (CentOS) DAV/2 mod_fastcgi/2.4.6”.

一次成功的Magnitude EK注入遵循图2所示的步骤。

图2：Magnitude EK的恶意广告的典型步骤

图3：包含注入了重定向脚本的第一层域名的TLD分布

在过去的4个月里，各种不同的恶意广告活动都与一些第一层中转页面有关(TLD分布如图3所示)，我们将基于一些共性指标来讨论这些页面。这些第一层中转页面使用相同的注入脚本用于重定向到Magnitude EK。图4展示了一个典型的用于攻击活动的注入脚本。

图4：典型的用于重定向到Magnitude域名的恶意注入脚本

在所有被观察的例子中，这些注入脚本只会在网站(大部分都有很高的Alexa排名，我们将进一步解释)通过广告来载入的时候出现，而在那些链接被直接访问的时候不会出现。

FireEye的警告已经使许多这样的攻击活动被关闭，这些攻击活动只在他们各自的部分被提及。

通过Propeller广告平台

表1显示了我们观察的域名，这些包含了重定向注入脚本的域名充当了到由广告商分布的Magnitude EK的第一层中转域名，广告商们把这些域名托管在Webzila B.V的域名托管服务上。

表1：这次攻击活动中包含重定向注入脚本的域名

这些域似乎是由同一个人创建的，因为它们有相似的URI和域名特征，一个域名在使用了一定次数之后又转换到一个新的域名。托管在活动域名的当前IP是37.130.229.108。表1中的域名由表2中的下列广告商重定向。

表2：攻击活动中使用的广告

这次攻击活动中一个典型的URI像这样：

btcpaying[.]uk/?reg=asia&traff=propeller

某些少见的场合中，攻击活动也使用托管在Cloudflare的广告商poptm[.]com，但大部分使用在表2中的广告平台。

Bill-Finance和Flash Games Gates

一些恶意广告把用户引导到Flash游戏网站。在这些例子中，域名中包含单词”finance”被用于作为重定向到托管主机Magnitude EK注入脚本的第一层中转。这些Flash网络以’AlpNames Limited’进行登记，托管在德国的PlusServer AG server ISP。

所有网站的登记者的信息都是相似的。这些登记者的名字都是由’Bill’和’Guil’进行一点点变化而来的(例如：’Billii’,’Billy’等等)。登记号一贯是+1.228516 1853 或 +1.7137015286。

表3列出了这些Flash游戏网站的名字，表4列出了他们的恶意广告信息。

表3：这次攻击中包含重定向注入脚本的域名

表4：这次攻击中的广告

click.seodollars[.]com中的广告似乎使用了domain shadowing技术，另他的是合法的广告商。

根据FireEye的通知，AlpNames Limited 的登录员已经把这次攻击活动中的域名关闭了。

TTA Adults Limited使用Adcash Ad Group

这种第一层中转域名登记在[.]organisation下：TTA ADULTS LIMITED。在所有的例子中，登记者的信息像下面这样：

Registrant Name: Andrew Musgrove
Registrant [.]organization: TTA ADULTS LIMITED
Registrant Street: FOURTH AVENUE UNIT 1B FOCUS 4  
Registrant City: LETCHWORTH
Registrant State/Province: Hertfordshire
Registrant Postal Code: SG6 2TU
Registrant Country: GB
Registrant Phone: +44.7538421640
Registrant Phone Ext:
Registrant Fax:Registrant Fax Ext:
Registrant Email: musgroveandrew1@gmail[.]com

包含这些登记信息的域名被重定向到Adcash group下属的广告商。

表5列出了这些攻击活动中的域名，表6列出了他们的恶意广告信息。

表5：这次攻击活动中包含重定向脚本的域名

表6：这次攻击活动中的广告

Adcashd 在收到FireEye的通知后关掉了这些域名的账号。

China Coast

这种第一层中转域名登记在[.].norganisation下：China Coast。在所有例子中，登记者信息像下面这样：

Registrant Name: Goran L Deelen
Registrant [.]organization: China Coast
Registrant Street: Davisstraat 27  
Registrant City: Amsterdam
Registrant State/Province: Noord-Holland
Registrant Postal Code: 1057 TG
Registrant Country: NL Registrant Phone: +31.645495613
Registrant Phone Ext:
Registrant Fax: Registrant Fax Ext:
Registrant Email: antoni309233@gmail[.]com

能过不同的域名类型，恶意广告能被进一步分类。一些来自于台湾的域名流量被重定向到ads.adamoads[.]com(一个中国广告网站)，其它细节如表7所示。

表7：这次攻击活动中的域名和服务。

这次攻击活动中的一些恶意广告通过其他广告网站被重定向。包括：

·         adexchangeprediction[.]com被观察到从serve.popads[.]net重定向而来。

·         n152adserv[.]com从engine.phn.doublepimp[.]com重定向而来。

这次攻击活动中，下列欺诈广告子域名使用了domain shadowing技术。

·         syndication.exoclick[.]com

·         track.reacheffect[.]com

表8：列出了Magnitude EK的其他恶意广告的例子。

表8：其它重定向到Magnitude EK的域名和广告服务。

Rig EK

Rig EK作为拥有最丰富的攻击工具的exploit kit出现在2016年的下半年。这次攻击活动中它的使用也是可以找到痕迹的，例如EITest Gate, Pseudo-Darkleech和Afraid Gate，它们都在合法的网站中注入重定向脚本。然而，根据这个博客的主题，我们将会专注于这次攻击活动中值得注意的被重向向到Rig EK域名的恶意广告。

Casino Theme AD Domains

从2016年的最后一季度到2017年1月，我们发现[.]info和[.]pw TLD域名作为重定向域名的中转站，被合法的广告商所调用，最终被重定向到Rig EK域名。这些域名通常都在内容中注入了含有恶意的iframe，最终重定向到Rig EK的域名。图5显示了这种攻击活动正常的工作流程。

图5：托管在Google Cloud ISP的广告平台

图6显示了广告是怎样通过302重定向载入casino-themed域名的。广告服务载入了这些网站，这些网站作为shadow服务器再把用户进一步重定向到exploit kits，如图7和图8所示

图6：302重定向到holdem-pokers.info

图7：第2层IP域名上，从第1层域名重定向到.pw域名的恶意iframe

图8：第2层域名里载入Rig EK的恶意iframe标签

这次攻击活动中，最近的whois信息像下面这样：

Registrant Name: sergei sergeev
Registrant organization: Private Person
Registrant Street: novoselov 44
Registrant City: ekaterinburg
Registrant State/Province: sverdlovskaya
Registrant Postal Code: 140530
Registrant Country: RU
Registrant Phone: +7.9868847677
Registrant Email: fobos@mail.ru

Admin Name: sergei sergeev
Admin [.]organization: Private Person
Admin Street: novoselov 44
Admin City: moscow
Admin State/Province: moscow
Admin Postal Code: 140530
Admin Country: RU
Admin Phone: +7.9868847677

在同一次攻击活动中，whois的信息只有轻微的变化。但organization name,state和country仍然是一样的。

在IP 78.46.232.211(在合法广告之后的第一次重定向)和88.198.220.122(合法广告之后的第二次重定向)上当前然后有效的域名。表9显示了一个完整的相关域名列表。

表9：这次攻击活动中Casino themed域名的shadow服务器

表10：这次攻击活动中使用到的广告

所有AdCash的广告服务，在2017年2月开始不再提供这些域名的服务。

在之后，这次攻击活动转为使用下列新域名：

lifeerotic6[.]info; lifeerotic6[.]pw; spoutgame22[.]info; spoutgame22[.]pw; lifeerotic[.]info; 100p2[.]pw; 100p0[.]pw; sproutgame[.]info; sproutgames[.]info.

这些新域名的IP是78.46.232.214(不再是前面提到的两个)。新的whois如下：

Registrant Name: sergei sergeev

Registrant Organization: Private Person

Registrant Street: 64 Vicar Lane

Registrant City: SAPEY

Registrant State/Province: COMMON

Registrant Postal Code: WR6 1JY

Registrant Country: GB

Registrant Phone: +1.3128595849

Registrant Fax:

Registrant Email: fobos@mail.ru

登记者的这一套域名现在利用了游行的广告服务popcash[.]net，FireEye已经通知了服务popcash[.]net。

Sundown EK

下列是一些当前仍在活跃的Sundown EK的恶意广告中最突出的几个。

Neighboring IPs Redirected From Different Set of Ad Networks

这次攻击活动使用托管在217.23.13.111 和 217.23.13.110上的域名，并仍在活跃。托管在这两个相邻地址上的域名都有他们的whois信息，这些信息由Whois Guard保护起来。这些IP地址下的每一组域名都是相似的。

在这些例子中，合法的广告商被重定向到托管在这些IP地址中的其中一个上，然后进一步重定向到Sundown EK的域名。图9和图10显示了含有恶意iframe的中转域名是怎么从一个广告重定向到Sundown EK登陆页的。

图9：托管在IP 217.23.13.110上的poptm[.]com重定向到gomedia[.]online

图10：域名上重定向到Sundown EK的iframe

当前有多种广告服务重定向到这些域名，如表11所示。

表11：重定向到Sundown EK的中转域名和他们的广告商

图11和图12展示了托管在每一个相邻IP上域名的细节

图11：托管在IP 217.23.13.111 上带有重定向到Sundown EK的iframe的域名

图12：托管在IP 217.23.13.111 (译者注：应该是110)上带有重定向到Sundown EK的iframe的域名

利用popcash[.]net

一组重定向域名利用了302/303重定向，从广告商popcash[.]net (Alexa #165)重定向到Sundown EK的登陆页。在这些例子中，广告商并不直接链接到Sundown EK的域名，而是通过两个域进行中转。

表12列出了popcash[.]net能过303重定向到的域名，再通过这些域名链接到第二层域名(通常通过iframe或是另一个303重定向)并最终将用户重定向到Sundown EK的域名。

表12：shadow服务器域名列表

这些域名使用了两个IP，23.238.19.56 或 173.208.245.114。

这样的重定向的一个典型的例子如图13和图14所示。

图13：从popcash[.]net进行重定向链上的两个域名

图14：重定向到Sundown EK登陆页上的第二层Shadow服务器的域名

popcash[.]net在我们通知之后清除了这些恶意广告。

通过Propeller广告平台

这次攻击活动与带有下列whois信息的一组域名有关：

Registrant Name: elise wickson

Registrant [.]organization: None

Registrant Street: 4-4025 Sladeview Crescent  

Registrant City: mississauga

Registrant State/Province: QC

Registrant Postal Code: L6L 5Y1

Registrant Country: CA

Registrant Phone: +1.5148852225

Registrant Name: bruno calisto

Registrant [.]organization: None

Registrant Street: 8807 PIERRE-BOUCHER

Registrant City: laval

Registrant State/Province: QC

Registrant Postal Code: H7A3R2

Registrant Country: CA

Registrant Phone: +1.5148859965

这些域名通过载入托管在Webzilla B.V托管服务上的合法广告网站作为重定向到Sundown EK域名的shadow服务器。表13列出了这些域名的完整列表。

表13：这次攻击活动中的相关域名

表14：这次攻击活动中的重定向广告

其他Sundown EK的恶意广告的例子如表15所示。

表15：重定向到Sundown EK 的其他域名和广告服务

Terror EK

与Sundown EK相似，Terror EK也利用了广告商serve.popads[.]net，把流量重定向到它所控制的域名。广告商被用于把流量重定向到托管在IP 144.217.84.234 上的域名，然后进一步重定向到托管在144.217.84.235 / 94.74.81.91 / 94.74.81.8上的域名。

托管在149.202.164.86上的域名的早期例子见于去年12月我们的同事发表在Trustwave 和 Malwarebytes上的文章。

在2017年1月，这次攻击活动的新域名出现在了一个不同位置的IP 上。然而，正如我们在前面所观测到的那样，Terror EK仍在使用它下载ccminer。

图15和图16展示了重定向到域名onlinesalespromarketing[.]com(托管在144.217.84.234下) 并进一步重定向到登陆页域名onlinesalesproaffiliate4[.]us的广告服务。

图15：serve.popads[.]net重定向到shadow服务器

图16：重定向到Terror EK登陆页的shadow服务器

表16列出了使用上面提及的IP重定向到登陆页的新域名：

表16：在第一次攻击活动之后Terror EK使用的新域名

总结

对于普通用户来说，恶意广告和exploit kits仍然是一个重大的威胁。尽管我们知道这不太可能，但我们仍然强烈推荐在所有web浏览器中使用ad blockers。因此，最好的方法就是让你的浏览器和应用程序永远保持在最新版。此外，定时检查你的浏览器，看看有哪些插件正在使用，如果这些插件不是必要的话，就禁用它们。

在我们所有讨论的例子中，通过我们的multi-flow 和multi-vector检测引擎，FireEye的顾客都能够避免被感染。

更新(2017.3.17)：我们在此感谢PopCash, Adcash, Propeller Ads, AlpNames Limited and Cloudflare关闭了那些我们这个博客中讨论到的，链接到shadow服务器的欺诈账号。

这篇博客发表于Wed Mar 15 08:48:00 EDT 2017，并归类在Advanced Malware, Blog, Exploit Kits, Latest Blog Posts, Malvertising, Threat Research 和Zain Gardezi下。

原文链接：

https://www.fireeye.com/blog/threat-research/2017/03/still_getting_served.html

本文由 看雪翻译小组 梦野间 翻译

[课程]Linux pwn 探索篇！