恶意广告仍然是最大和最有效的感染机制之一,在很大程度上,它是基于流氓广告商在机器中插入恶意广告。
我们在这个博客上写了几篇关于这个主题的文章,但今天,我们想要深入了解一个特殊的概念,即实时竞价(RTB)。
在这篇文章中,我们将分享一些我们最近观察到的恶意广告活动背后的细节,并展示它是如何通过RTB实现的。
实时竞价
曾经有一段时间,广告被大量购买,并显示在特定的出版商的网站上。这种模式已经改变,并被实时竞价(RTB)所取代,即广告商在实时拍卖中争夺特定的目标和受众。
RTB比批量销售成本更低、效率更高、更灵活。新广告商或预算较小的广告商的进入门槛也降低了,因为他们可以分配预算,只赢得对他们重要的竞标。
广告网络充当了出版商(我们浏览的网站希望通过广告将流量变现)和希望在这些网站上推广品牌的广告商之间的中间人。
有一些精选的顶级广告网络和无数的广告公司都试图在这个数十亿美元的产业中分得一杯羹。广告商通常与二级广告代理商互动,后者就像谷歌、Yahoo!美国在线等等……
RTB的问题是,恶意行为者很容易滥用系统,并且在很大程度上逃脱了惩罚。
流氓广告商就像其他人一样对印象进行竞价,除了他们的广告中含有恶意代码,旨在将用户重定向到虚假警报/软件或利用工具包。
通过广告平台进行恶意广告
在这个例子中,我们来看看一家广告公司,它被用作广告商的自助服务平台。它自夸,它是连接到几个广告交换,保证你永远不会缺少流量。
一位广告商开始为他们的一个创意(你在下面的图片中看到的“贷款”广告)竞标,并赢得了它。现在,当你访问一个符合广告商标准(人口统计,地理位置等)的特定网站时,这个广告就会出现。
现在我们看到了一个关于广告如何加载的问题,或者更具体地说,它是从哪里加载的。它不是从广告代理的服务器检索,而是从第三方广告客户链接。
这是一个问题,因为第三方完全控制将加载到访问者浏览器中的内容。
举个例子,这个广告商是不合法的,除了加载常规广告外,它还侧面加载了一个恶意的iframe,到一个利用工具包的登陆页面。把广告想象成特洛伊木马……
第三方广告服务器
没过多久,我们就发现第三方广告商看起来有点可疑。
它正在使用的两个域(bndtrk.com而且marialoantracker.com)通过匿名服务注册:
注册机构:Whois Privacy Corp。注册人街道:海洋中心,蒙塔古前岸,东湾街注册人城市:拿骚注册人州/省:新普罗维登斯注册人邮政编码:0000注册人国家:BS
然而,没有太多麻烦,这位广告商能够注册并开始将他们的创意加载到一个良好连接的广告平台上。
那些信任广告公司的受欢迎的出版商基本上被利用了,他们的访问者也暴露在恶意软件中。
以下是一些加载恶意广告的热门网站:
srv.bndtrk.com/adsrv.js ? dt =wealthbrokerage.compid ={删除}
srv.bndtrk.com/adsrv.js ? dt =answers.compid = openxnat_{删除}
srv.bndtrk.com/adsrv.js ? dt =newegg.compid = openxnat_{删除}
srv.bndtrk.com/adsrv.js ? dt =weather.compid = aol_{删除}
srv.bndtrk.com/adsrv.js ? dt =commerce.cnet.compid = smartadserver_{删除}
srv.bndtrk.com/adsrv.js ? dt =blind.appnexus.adnetworkpid = aol_{删除}
srv.bndtrk.com/adsrv.js ? dt =blind.stanmoremedia.adnetworkpid = pubmatic_{删除}
srv.bndtrk.com/adsrv.js ? dt =blind.mg8.adnetworkpid = pulsepoint_{删除}
pub.marialoantracker.com/508613968.js ?域=twcc.com&pubid = aol_{删除}
利用工具包和恶意软件感染
在成功重定向到恶意iframe后,受害者将面临臭名昭著的Angler漏洞利用工具包,这是一种网络武器,旨在利用任何过时的浏览器或插件来加载恶意软件。
凭借极高的精度和有限的成本,这些坏人能够将来自流行网站的恶意软件暴露给成千上万的用户。
把所有坏人都放在一个篮子里有点不正确。在这次行动中,很可能涉及到不同的组织。
这些流氓广告商通常被称为流量贩子,他们的业务就是买卖流量。
在这种情况下,他们通过伪装成“广告商”来获取流量,这样他们就可以把流量转售给自己的客户,这些客户可能是工具包运营商,甚至是骗子(例如:虚假的技术支持骗局弹出).
打地鼠游戏
如果广告公司认为他们是问题的来源,他们可能会暂停他们的账户。然而,如果广告商是一个大客户,广告公司可能只是警告他们,并给他们一个轻微的处罚。
最坏的情况是,如果流氓账户被终止,坏人可以很容易地在那里或其他地方开设一个新的账户,并重新开始这一切。
这就是为什么尽管花费了大量资金来打击恶意广告,但它仍然是一个巨大问题的众多原因之一。
RTB的保障措施
实时竞价将持续存在,每一秒都有拍卖发生,以便广告商在出版商的网站上展示他们的创意。
一些顶级广告公司声称每天处理数十亿次的印象,这意味着通过的广告量是巨大的。检查每一个广告都成为一项艰巨的任务,给不良行为者留下了追赶潮流的空间。
为了减少RTB中的恶意活动,需要解决一些未解决的问题。首先,广告商应该受到更多关注,匿名账户应该引起警惕。
创意(广告本身)应该从广告代理商本身加载,而不是从第三方广告商。如果Flash横幅是内置的,那么它加载额外脚本或被破坏的机会就会更小。
许多广告公司都在努力快速识别不良行为者,尽管他们投入了大量资金以保持主动。其中一个原因是,坏人在滥用合法服务方面变得越来越有创意和鬼鬼祟祟。
例如,广告可能只在一天的特定时间对特定国家的特定用户恶意。即使是世界上最先进的QA和安全测试实验室也很难发现这些漏洞。
我们一直在这个博客上写关于恶意广告攻击的文章,目的有两个:向广告网络报告攻击,同时保护我们的用户。
恶意广告是每个人的责任。当然,广告网络一开始就不应该允许恶意广告被加载。而且,坏人之所以一直这样做,是因为他们可以感染人们的电脑,这些电脑通常没有打补丁或保护得当。
恶意广告之战远未结束,但已经取得了胜利,改变格局将迫使网络罪犯将目光投向别处。
以下是我们最近写的一些关于恶意广告的文章:
评论