阿碼外傳-阿碼科技非官方中文 Blog: speedtest.net 廣告平臺(OpenX)遭受攻擊,散佈偽冒的防毒軟體"Security Sphere 2012"

2011年10月14日

speedtest.net 廣告平臺(OpenX)遭受攻擊,散佈偽冒的防毒軟體"Security Sphere 2012"

(作者: Wayne Huang, Chris Hsiao, NightCola Lin)

事件說明: SpeedTest.net,Alexa排名第541,每個月的流量為 8,141,777 個瀏覽者(unique)及 10,177,221 次的網頁瀏覽,成為惡意廣告的受害者,進而對瀏覽者散播"Security Sphere 2012"這隻偽防毒軟體。僅僅是瀏覽此網站,只要瀏覽者的瀏覽環境沒有更新到最新(包括瀏覽器本身及其插件: Java,PDF,Flash,etc),在瀏覽過後,就會被安裝上"Security Sphere"這個惡意程式。

惡意程式: 此程式會鎖住所有電腦上大部份的應用程式,嘗試去執行時,右下角會彈出訊息:"Application cannot be executed. The file xxxxx.exe is infected...",不允許執行。直到你為了"清除病毒"而付費去購買"序號"。

緣由: SpeedTest.net 使用自己架設的OpenX線上廣告平臺,使用的網域為ads.ookla.com。攻擊者成功的入侵此平臺並再每個廣告中注入惡意iframe。以下影片錄下瀏覽者整個被感染的過程:


惡意程式生命週期: 一開始在VirusTotal上的偵測率為 0 /43:

此惡意程式會偵測常見的虛擬環境(Virtual machines),不會在沙盒或虛擬環境之中執行。這個方法能夠有效的規避偵測率。

以下為此惡意程式的生命週期。這隻程式並沒有在一開始被發現的時候就傳送過去,所以此週期並不是100%的準確,但它提供了一個很好的參考:

2011-09-XX 00:00 UTC SpeedTest.net及其他網站開始遭受感染
|
|
(防毒軟體廠商尚未取得此惡意軟體樣本,因此沒有任何一家能夠偵測到)
|
(我們不確定這個狀況持續了多久)
|
|
2011-09-30 09:23 UTC 0 / 43,我們一開始傳送樣本到VirusTotal時。 因為所有43家廠商都跟VirusTotal有合作關係,因此當我們上傳過去後,他們便可以取得樣本。

2011-09-30 11:00 UTC 2 / 43, Kaspersky, NOD32

2011-09-30 15:00 UTC 3 / 43, Dr. Web

2011-09-30 19:00 UTC 7 / 43, Comodo, Emsissoft, Microsoft, Panda

2011-09-30 23:00 UTC 9 / 43, AVG, Symantec

2011-10-01 03:00 UTC 14 / 43, BitDefender, F-Secure, GData, PCTools, SUPERAntiSpyware

2011-10-01 07:00 UTC 14 / 43,

2011-10-01 11:00 UTC 17 / 43, Avast, McAfee, VIPRE

2011-10-01 15:00 UTC 17 / 43,

2011-10-01 19:00 UTC 22 / 43, Ahn-Lab-V3, Ikarus, K7AntiVirus, McAfee-GW-Edition, Sophos

2011-10-01 23:00 UTC 22 / 43,

2011-10-02 03:00 UTC 22 / 43,

2011-10-02 07:00 UTC 22 / 43,

2011-10-02 11:00 UTC 22 / 43,

2011-10-02 15:00 UTC 22 / 43,

2011-10-02 19:00 UTC 22 / 43,

2011-10-02 23:00 UTC 22 / 43,

2011-10-03 03:00 UTC 22 / 43,

2011-10-03 07:00 UTC 22 / 43,

2011-10-03 11:00 UTC 30 / 43, AntiVir, Antiy-AVL, CAT-QuickHeal, Emsisoft, TheHacker, TrendMicro, TrendMicro-HouseCall, VirusBuster

2011-10-03 15:00 UTC 30 / 43,

2011-10-03 19:00 UTC 31 / 43, nProtect

2011-10-03 23:00 UTC 31 / 43,

2011-10-04 03:00 UTC 31 / 43,

2011-10-04 07:00 UTC 31/ 43,

2011-10-04 11:00 UTC 31 / 43,

2011-10-04 15:00 UTC 31 / 43,

2011-10-04 19:00 UTC 31 / 43,

2011-10-04 23:00 UTC 31 / 43,

2011-10-05 03:00 UTC 31 / 43,

2011-10-05 07:00 UTC 31 / 43,

2011-10-05 11:00 UTC 32 / 43, eTrust-Vet

2011-10-05 15:00 UTC 32 / 43,

2011-10-05 19:00 UTC 32 / 43,

2011-10-05 23:00 UTC 32 / 43,

2011-10-06 03:00 UTC 32 / 43,

2011-10-06 07:00 UTC 32 / 43,

2011-10-06 11:00 UTC 33 / 43, Fortinet

2011-10-06 15:00 UTC 33 / 43,

2011-10-06 19:00 UTC 33 / 43,

2011-10-06 23:00 UTC 33 / 43,

2011-10-07 03:00 UTC 33 / 43,

2011-10-07 07:00 UTC 33 / 43,

2011-10-07 11:00 UTC 33 / 43,

2011-10-07 15:00 UTC 33 / 43,

2011-10-07 19:00 UTC 33 / 43,

2011-10-07 23:00 UTC 33 / 43,

2011-10-08 03:00 UTC 33 / 43,

2011-10-08 07:00 UTC 33 / 43,

2011-10-08 11:00 UTC 33 / 43,

2011-10-08 15:00 UTC 33 / 43,

2011-10-08 19:00 UTC 33 / 43,

2011-10-08 23:00 UTC 33 / 43,

2011-10-09 03:00 UTC 33 / 43,

2011-10-09 07:00 UTC 33 / 43,

2011-10-09 11:00 UTC 33 / 43,

2011-10-09 15:00 UTC 33 / 43,

2011-10-09 19:00 UTC 34 / 43, JIangmin

2011-10-09 23:00 UTC 34 / 43,

尚未偵測到的: ByteHero, ClamAV, Commtouch, eSafe, F-Prot, Prevx, Rising, VBA32, ViRobot

3 篇回應 :

kevin ting 提到...

my question is,,how do you guys find out speedtest.net was injected?

Wayne Huang 提到...

@Kevin 阿碼的 HackAlert 是全球最大的惡意網站監測平台之一,我們團隊每天會分析掃瞄結果。譬如賽門鐵克的全球掛馬監控系統,就是我們提供並維運的。

像這種的案例很頻繁,看我們有沒有時間寫部落格而已。我們寫出來的也不盡然為最「大」的事件,只是剛好那時有空寫。不然如果說一有大型網站被掛馬,我們就寫,那其實是寫不完的。也有很多我們研究與分析的案例,是不適合公開的。

Tsaipifong 提到...

20多年不見,老同學已經在資安打出一片天囉~ 恭喜~
我現在某媒體科技擔任網頁程式設計師
希望未來能有機會與你合作

碧峰 tsaipifong@gmail.com

張貼留言