2014年黑帽大會:僵尸網(wǎng)絡(luò)和廣告活動
責編:admin |2014-08-11 11:57:07“廣告業(yè)的情況跟很多銀行業(yè)很像,一個不可避免的事實擺在廣告主眼前,那就是不能隨便相信廣告商提供給你的信息。”White Ops首席執(zhí)行官Michael Tiffany說。“有時候,兩種cookies、用戶信息等都是相同的,但是只有一個是真的,其他的是假的。”
當然,Tiffany指的是通過感染實際消費者或用戶的計算機來瞄準廣告活動的僵尸網(wǎng)絡(luò)帶來的真正的威脅。這是比竊取登錄憑證更有效的方法,同時還可以避開異常檢測,但它也是一種更加危險的方式。
“這是世界上最復(fù)雜的非政府發(fā)起的犯罪軟件,”Tiffany表示,“搶劫銀行的最好辦法不是直接進去搶劫,而是攻擊其客戶的機器。然后在客戶登錄后開始行動。攻擊者采用的是網(wǎng)絡(luò)感知惡意軟件,它們會埋伏在一旁等待,直到有人使用個人資料信息來登陸。”
通過這些類型的僵尸網(wǎng)絡(luò),攻擊者有兩種方法來攻擊合法機器。其中一種是后臺進程,在機器開啟時瀏覽所有內(nèi)容,并通過利用用戶的cookie來有效地偽裝成用戶。
第二種方法比較復(fù)雜,是通過“瀏覽器中間人”的做法,這甚至根本不是在后臺,而是在你實際的瀏覽器上;這種惡意軟件會注入更多廣告到你的合法瀏覽會話中。
“這種情況,在我看來,我正在流量CNN.com,”Tiffany表示,“但從廣告服務(wù)器和網(wǎng)絡(luò)來看,我正在瀏覽有很多廣告的其他網(wǎng)站。”
當然,通過僵尸機器模仿人類訪客,并獲得數(shù)十億次廣告展示,這最終會讓廣告商花費數(shù)百萬美元,并完全破壞網(wǎng)絡(luò)指標的準確性。事實上,不僅這種欺詐活動不會被減少,企業(yè)還會花費更多錢來瞄準僵尸機器,而產(chǎn)生更高的開銷。Tiffany舉例說,僵尸機器不只是帶來10美分的每千人成本(CPM),而是10美元的CPM。由于僵尸網(wǎng)絡(luò)的傳播性質(zhì),最終將會扭曲互聯(lián)網(wǎng)上的所有數(shù)據(jù)。
“很少有人根據(jù)廣告來采取實際的行動,”Tiffany表示,“在攻擊者采取行動之前,你通常會展示數(shù)千次廣告,你很難判斷攻擊者將這個數(shù)字提高了50%。”
那么,這種類型的僵尸網(wǎng)絡(luò)已經(jīng)存在多久了呢?更重要的是,它們是在增加還是減少?
“我希望我能知道!”Tiffany表示,“我們沒有縱向的數(shù)據(jù),但有趣的是,在過去幾年,我覺得情況變得越來越糟糕,因為cookie有點像身份驗證機制。”
存在的問題是,使用異常行為來嗅探僵尸網(wǎng)絡(luò)的傳統(tǒng)做法已經(jīng)行不通,因為僵尸流量來自已知合法的用戶。
“cookie正變得越來越受信任,欺詐檢測通常面對的是大數(shù)據(jù)[注],通常是異常檢查,”Tiffany表示,“當僵尸網(wǎng)絡(luò)能夠獲得每個用戶的信息,這是他們的制勝關(guān)鍵。”
不過,我們?nèi)匀挥邢Mm然對付這種復(fù)雜的方法會非常棘手,但并不是不可能。我們可以通過查看網(wǎng)絡(luò)流量和區(qū)分人類網(wǎng)絡(luò)流量和受遠程控制的瀏覽器來檢測瀏覽器中間人惡意軟件。
“瀏覽器是非常復(fù)雜的操作環(huán)節(jié)(+微信關(guān)注網(wǎng)絡(luò)世界),并且有一個運行時引擎(運行以JavaScript編寫的軟件)來與硬件交互,”Tiffany說道,“另外,還有DOM(文檔對象模型)包含與瀏覽器硬件環(huán)境相關(guān)的所有方法和對象。”Tiffany及其團隊發(fā)現(xiàn),無論什么時候在指令集和DOM之間構(gòu)建了可編程連接,他們都會發(fā)現(xiàn)事情朝相反方向發(fā)展。
“如果你在DOM,我們會發(fā)現(xiàn)可編程連接在環(huán)境的這個部分,”Tiffany稱,“這會使JavaScript運行時環(huán)境會不同。”
檢測這些差異的技術(shù)并不一定要是靜態(tài)的,因為當受遠程控制時,環(huán)境可以通過很多微妙的方式被改變。“我們有非常龐大的參數(shù)庫,我們可以快速替換檢測技術(shù)。”
并且這是公開進行,但是系統(tǒng)不會泄漏任何成功/失敗信息返回給攻擊者。無論攻擊者的嘗試成功還是失敗,無論他們有沒有得到錢,他們都必須再來一回才知道他們第一回是否成功。
“他們可以看到我們的服務(wù)器,他們知道我們參與其中,但他們不知道他們是否成功或者是否欺騙到我們,”Tiffany表示,“大家都知道,瀏覽器中有很多攻擊面,我們可以利用這個特性來對付攻擊者:如果我們不能保護它,他們也不能。”
這最終會破壞攻擊者的經(jīng)濟業(yè)務(wù)模式。
“如果你讓計算機每天查看廣告,任何計算機都會開始耗錢,”Tiffany稱,“如果我們切斷這個模式中制造的錢,這將會導(dǎo)致黑市生態(tài)系統(tǒng)花費很多錢。”
最終,攻擊者需要花很多錢才能成功發(fā)起攻擊,而檢測僵尸網(wǎng)絡(luò)則不會是昂貴的過程。
“如果我們的檢測成本低于攻擊者的成本,這將讓我們贏得這場戰(zhàn)斗。”
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!