恶意广告又找到了新的方法绕过广告屏蔽工具

广告屏蔽工具已经称为我们对抗恶意广告活动最后的希望了,但这个最后的保护屏障似乎也已经坍塌了。因为Malwarebytes近期发布了一项研究报告并详细介绍了一种恶意广告活动,而这种恶意广告活动可以成功绕过广告拦截工具并发送恶意Payload。

这个恶意广告活动名叫RoughTed,根据Malwarebytes安全研究专家Jérôme Segura透露的信息,虽然这个恶意广告活动在2017年3月份才被他发现,但目前有足够的证据可以表明RoughTed已经上线超过一年之久了。从攻击者的角度来看,这个恶意广告活动设计得非常复杂,它利用了多种黑客技巧来掩盖自己的活动踪迹,所以我们直到现在才发现这个恶意广告活动。

“多样性”这个词用来形容RoughTed是最合适不过的了,这个恶意广告活动背后的攻击者不仅可以提供多种不同来源的网络数据,而且还在恶意广告活动中添加了各种不同的用户指纹识别技术,并通过恶意广告活动来传播不同的恶意Payload。

Adf.ly、Extra Torrent和Openloud都在传播恶意广告

这个恶意广告活动可以在成百上千家网站中显示恶意内容,其中的某些网站为小型的个人网站,但也有很多AlexaTop 500的网站也出现在了我们的名单里。Malwarebytes表示,他们已经在例如Adf.ly、Extra Torrent(已下线)、Openloud和Ouo.io等热门网站上检测到了RoughTed的身影。

根据Segura透露的信息,自从研究人员开始跟踪这个恶意广告活动之后,RoughTed域名在过去三个月内的访问量已累计超过十亿次了。Segura还表示,他们在很多小型网站的源代码中发现了攻击者所注入的恶意广告代码,但目前还不清楚这些恶意代码是网站管理员插入的还是攻击者在入侵了网站之后才插入的。

RoughTed采用了非常激进的指纹收集策略

这个恶意广告活动会在目标用户的浏览器后台加载各种恶意脚本,这些恶意代码会将用户的访问链接进行重定向,并通过将用户重定向至各种不同的URL来达到攻击者的检测目的。

Segura认为,这种激进的用户指纹收集策略一般来说是不会出现在恶意广告活动之中的,因为这种行为严重侵害了用户的隐私权。在RoughTed中,攻击者所要检测的内容包括浏览器类型、操作系统版本、系统语言设置以及地理位置信息等等。Segura表示,其中的某些恶意脚本是经过攻击者精心设计的,当用户伪造自己的用户代理时,这些脚本都能够迅速检测到。这些脚本不仅使用了基于canvas的标准HTML5指纹识别技术,而且还使用了例如检测已安装字体列表这样的新型技术。不仅如此,RoughTed还可以根据目标用户不同的操作系统版本来执行不同的恶意脚本。

广告屏蔽工具也无法阻挡RoughTed

在RoughTed中有一个最引人关注的脚本,这个脚本可以检测用户是否正在使用广告屏蔽插件,如果正在使用的话,它可以想办法绕过这个屏蔽系统。例如Adblock Plus、uBlock origin或AdGuard的用户近期就曾报告称,有恶意广告破解了他们的广告屏蔽工具,并在广告屏蔽工具处于开启状态时不断在浏览器中显示恶意内容。

不过Segura表示,具备这种能力的恶意广告活动并非只有RoughTed,还有很多其他的恶意广告攻击者同样也会使用类似的绕过技术来绕过广告拦截工具。Malwarebytes的专家表示,其他的恶意活动也会使用类似的代码,但RoughTed的规模要更大一些。

总结

当广告拦截工具的技术维护人员正忙着跟广告商以及网站管理员勾心斗角时,攻击者此时又在背后悄悄地开发各种各样的绕过工具。但根据目前的情况来看,RoughTed可不是一个普通的恶意广告活动,攻击者的目标是多样化的,RoughTed可能会进行的恶意活动包括以下集中:

-传播漏洞利用工具; -通过伪造的技术支持页面实施网络诈骗; -在Mac端显示恶意广告(软件下载又额面); -加载Chrome流氓插件; -进行各种在线调查与数据收集活动;

关于这个恶意广告活动的IoC(入侵威胁指标)以及其他的技术细节请参考Malwarebytes发布的这篇RoughTed研究报告

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-05-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

你应该丢弃Windows,选择Linux的五大理由

自Linux这款开源操作系统发布以来,它就处于上升通道,这些年来已得到了改进和完善,以至于如今一个典型的发行版现在都是高度完善、功能全面的程序包,包括用户需要的...

3948
来自专栏全华班

微信公众号、小程序、接口统一集成开发平台框架

RhaPHP微信平台管理系统,支持多公众号管理,小程序开发,APP接口开发、几乎集合微信功能,简洁、快速上手、快速开发微信各种各样应用。简洁、好用、快速、项目开...

4362
来自专栏腾讯技术工程官方号的专栏

2017 全球移动技术大会

导语 6月9日-10日,“2017年全球移动技术大会(GMTC)”在北京举行。会议为期两天,面向移动开发、前端、AI技术人员,聚焦前沿技术及实践经验,打造技术人...

3197
来自专栏java一日一条

源代码的寿命

看看你现在日常工作中的代码。已经运行了多久了?代码有多老了?有六个月?一年?可能都有五年这么久了吧?十年?二十年呢?!这样的代码有多老了?不到10%?还是一半?...

1061
来自专栏鹅厂网事

海量数据存储硬件平台解决思路

"鹅厂网事"由深圳市腾讯计算机系统有限公司技术工程事业群网络平台部运营,我们希望与业界各位志同道合的伙伴交流切磋最新的网络、服务器行业动态信息,同时分享腾讯在网...

5795
来自专栏阮一峰的网络日志

Android,开源还是封闭?

满大街都在谈论Android。 它是当红炸子鸡。许多人觉得,iPhone将受到它的强力挑战。 ? 我也曾经对它充满了期待,但是后来的事态发展,令我改变了看法。前...

3557
来自专栏数据和云

2016年度中国Oracle数据库使用现状分析报告

Oracle数据库从20世纪末就已开始在国内使用,在经历了20多年的迅猛发展后,目前已经占据了全球数据库的首位,在国内拥有数十万的技术粉丝与数万家企业用户,但到...

3879
来自专栏云计算D1net

你为什么需要在云端构建Linux服务器?

云端Linux服务器比以往来得成本更低、性能更好。 要是你之前还没有启动过云端Linux服务器,眼下也许正是大好时机。原因何在因为你在短短几分钟内就能安装好一台...

5837
来自专栏数据和云

招商银行王龙:金融科技银行数据架构设计的13条守则(含PPT)

作者简介:王龙,招商银行数据中心MySQL资深架构师,将MySQL引入招商银行,并从无到有建设MySQL生态,解决了MySQL在银行领域使用的诸多问题。

1845
来自专栏福利活动清单

腾讯云学生优惠

腾讯云学生优惠相对于阿里云的槽点在于价格贵了6元一年,而且只能学生认证才能够购买。但是!但是腾讯云学生机可以选择搭配学生优惠的云数据库体验套餐,最低3元一月,还...

19.3K14

扫码关注云+社区

领取腾讯云代金券