Malvertising惡意網路廣告蔓延，思科呼籲全球聯手對抗

william77

因為漏洞攻擊包（Exploit Kit，EK）而產生的資安威脅，影響層面日益廣泛，近年來，也開始被惡意網頁廣告所吸納，而思科Talos與GoDaddy今年也攜手合作，找出並破壞ShadowGate這類惡意網址重新導引機制。

網際網路的世界中，為了促銷各種商品與業務，廣告幾乎無所不在，但如今這些行銷網頁、網站，也已成為惡意人士發動大量攻擊的主要途徑之一。根據思科Talos安全情報與研究事業群的分析，運用線上廣告來執行攻擊的手法，包括：嵌入其他網頁的廣告、下載非必要的廣告程式（PUA）、點擊廣告詐騙（Clickfraud）、惡意網頁廣告攻擊（Malvertising）。而12月1日舉行的台灣駭客年會HITCON Pacific 2016上，思科威脅研究部門的主管Earl Carter特別呼籲與會者需注意這類威脅，以及介紹他們先前對於的處理經驗。

在惡意網頁廣告攻擊過程當中，漏洞攻擊包會趁使用者以瀏覽器檢視一些網頁時，發起初期重新導引連結的動作，而這個攻擊點稱為「旋轉門（Gate）」，通常是被侵入的網站或是惡意的網路廣告平臺，同時，該處的存在，也讓漏洞攻擊包能夠做到快速轉移的效果——攻擊者可快速更換實際的惡意伺服器所在位置，而不需改變初始重新導引的動作，如此一來，漏洞攻擊包能夠產生作用的期間，就可以維持得更為長久，不必為此經常修改位於感染源頭的網站或廣告內容。
而以惡意網頁廣告所用的漏洞攻擊包來說，ShadowGate這個「門」是由Talos所發現和命名的，並且在今年馬來西亞Hack In The Box大會上首度對外公布。不過，ShadowGate其實在2015年就被找到，但一直沒有明顯活動的跡象，直到後來開始發動大規模的網路流量，它能引發全球性的攻擊，因此遭殃的網站也遍布全世界——例如，影響了美國、加拿大、中東、中國、紐西蘭等地區的網站，而且有人指出，當中用的是一套名為Neutrino的漏洞攻擊包，攻擊過程中，會散播各種惡意程式彈頭（payload），例如勒索軟體。




既然ShadowGate的活動開始曝光，企業開始採取一些動作，希望能扼止威脅。例如，ShadowGate名稱的由來，就是因為運用對主機進行網域名稱掩護（Domain shadowing）的手法，來主導整個活動，而且Talos發現部分是經由GoDaddy這類主機代管商來註冊網域名稱，所以Talos也和GoDaddy合作，請他們協助禁用相關的網域名稱。而在封鎖之初，旋轉門也轉移陣地，於是他們又繼續追蹤下去，發現了第二組伺服器的活動，隨後GoDaddy就關閉了該網域名稱的使用。






Earl Carter提到，與GoDaddy的密切合作，對於能否有效阻絕惡意網頁廣告攻擊，是至關重要的因素，所以，現在的漏洞攻擊包所用的「旋轉門」，已經遭到破壞，連帶地，Neutrino漏洞攻擊包在全球各地進行大量感染的態勢，也因此減緩了。
該怎麼看待ShadowGate這個攻擊事件？Earl Carter提出警告，他說，漏洞攻擊包影響範圍，已經擴及全世界，各大洲都受到這個威脅的衝擊，而且，他們目前已經發現相關的惡意網頁廣告，已經出現英、中、阿等三國語言的內容。因此，他認為關於線上廣告內容的資安問題，仍是未來的重大挑戰，並呼籲網站經營者除了要專注營收之外，更要重視安全風險。

zhoujian198909

xfzc

    

robinfit