恶意广告又找到了新的方法绕过广告屏蔽工具

广告屏蔽工具已经称为我们对抗恶意广告活动最后的希望了，但这个最后的保护屏障似乎也已经坍塌了。因为Malwarebytes近期发布了一项研究报告并详细介绍了一种恶意广告活动，而这种恶意广告活动可以成功绕过广告拦截工具并发送恶意Payload。

这个恶意广告活动名叫RoughTed，根据Malwarebytes安全研究专家Jérôme Segura透露的信息，虽然这个恶意广告活动在2017年3月份才被他发现，但目前有足够的证据可以表明RoughTed已经上线超过一年之久了。从攻击者的角度来看，这个恶意广告活动设计得非常复杂，它利用了多种黑客技巧来掩盖自己的活动踪迹，所以我们直到现在才发现这个恶意广告活动。

“多样性”这个词用来形容RoughTed是最合适不过的了，这个恶意广告活动背后的攻击者不仅可以提供多种不同来源的网络数据，而且还在恶意广告活动中添加了各种不同的用户指纹识别技术，并通过恶意广告活动来传播不同的恶意Payload。

Adf.ly、Extra Torrent和Openloud都在传播恶意广告

这个恶意广告活动可以在成百上千家网站中显示恶意内容，其中的某些网站为小型的个人网站，但也有很多AlexaTop 500的网站也出现在了我们的名单里。Malwarebytes表示，他们已经在例如Adf.ly、Extra Torrent（已下线）、Openloud和Ouo.io等热门网站上检测到了RoughTed的身影。

根据Segura透露的信息，自从研究人员开始跟踪这个恶意广告活动之后，RoughTed域名在过去三个月内的访问量已累计超过十亿次了。Segura还表示，他们在很多小型网站的源代码中发现了攻击者所注入的恶意广告代码，但目前还不清楚这些恶意代码是网站管理员插入的还是攻击者在入侵了网站之后才插入的。

RoughTed采用了非常激进的指纹收集策略

这个恶意广告活动会在目标用户的浏览器后台加载各种恶意脚本，这些恶意代码会将用户的访问链接进行重定向，并通过将用户重定向至各种不同的URL来达到攻击者的检测目的。

Segura认为，这种激进的用户指纹收集策略一般来说是不会出现在恶意广告活动之中的，因为这种行为严重侵害了用户的隐私权。在RoughTed中，攻击者所要检测的内容包括浏览器类型、操作系统版本、系统语言设置以及地理位置信息等等。Segura表示，其中的某些恶意脚本是经过攻击者精心设计的，当用户伪造自己的用户代理时，这些脚本都能够迅速检测到。这些脚本不仅使用了基于canvas的标准HTML5指纹识别技术，而且还使用了例如检测已安装字体列表这样的新型技术。不仅如此，RoughTed还可以根据目标用户不同的操作系统版本来执行不同的恶意脚本。

广告屏蔽工具也无法阻挡RoughTed

在RoughTed中有一个最引人关注的脚本，这个脚本可以检测用户是否正在使用广告屏蔽插件，如果正在使用的话，它可以想办法绕过这个屏蔽系统。例如Adblock Plus、uBlock origin或AdGuard的用户近期就曾报告称，有恶意广告破解了他们的广告屏蔽工具，并在广告屏蔽工具处于开启状态时不断在浏览器中显示恶意内容。

不过Segura表示，具备这种能力的恶意广告活动并非只有RoughTed，还有很多其他的恶意广告攻击者同样也会使用类似的绕过技术来绕过广告拦截工具。Malwarebytes的专家表示，其他的恶意活动也会使用类似的代码，但RoughTed的规模要更大一些。

总结

当广告拦截工具的技术维护人员正忙着跟广告商以及网站管理员勾心斗角时，攻击者此时又在背后悄悄地开发各种各样的绕过工具。但根据目前的情况来看，RoughTed可不是一个普通的恶意广告活动，攻击者的目标是多样化的，RoughTed可能会进行的恶意活动包括以下集中：

-传播漏洞利用工具； -通过伪造的技术支持页面实施网络诈骗； -在Mac端显示恶意广告（软件下载又额面）； -加载Chrome流氓插件； -进行各种在线调查与数据收集活动；

关于这个恶意广告活动的IoC（入侵威胁指标）以及其他的技术细节请参考Malwarebytes发布的这篇RoughTed研究报告。