Рекламируемые drive-by загрузки

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 10 дек 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Некоторое время назад наши системы мониторинга обнаружили признаки drive-by загрузок эксплойтов на группе схожих сайтов, при этом в кодах этих сайтов не наблюдалось ничего вредоносного. Мы решили изучить эти сайты более внимательно.

    На первый взгляд, общим у всех замеченных в подозрительной активности сайтов было только одно — все они относились к категории «сайтов для взрослых» (далее — порносайты). Код сайтов действительно оказался чистым, соответственно, мы пришли к выводу, что источник заражения находится где-то еще и стали изучать внешние ссылки. Порносайты обычно используют кучу внешней рекламы, перекрестных ссылок и т.д., и разбирать все это довольно хлопотно (не говоря уж о том, что приходится повидать в процессе изучения). К счастью, выяснилось, что все исследуемые площадки используют код одной и той же баннерной сети, который выглядит вот так:

    [​IMG]

    По указанному URL загружается стандартный код для вставки SWF в HTML, в котором подозрение может вызвать только адрес SWF-файла (он подгружается с отдельного сайта). Баннеры соответствуют специфике сайтов и рекламируют разного рода сопутствующие товары и услуги. Нам встретились разные варианты баннеров, например:

    [​IMG]

    Клик по баннеру приводит к открытию сайта рекламодателя, никакие эксплойты грузиться не начинают (проверка рекламируемых товаров и услуг на соответствие ожиданиям пользователя выходит за рамки данного исследования).

    Единственная странность, которая бросается в глаза, это то, что, после загрузки баннера зачем-то отправляется запрос на сервер, с которого был загружен SWF. Выглядит запрос так (большинство стандартных заголовков удалено):

    [​IMG]

    После анализа кода SWF файла стало ясно, что баннер ожидает передачи ему URL, из которого затем будет сформирован iframe:

    [​IMG]

    Сервер долгое время присылал в ответ на запросы унылое {"counted":false}. Однако после усиленного натиска в ответ на очередной запрос сервер подтвердил, что может возвращать ссылки. Изначально они приходили в открытом виде (ответ сервера выглядел как {"iframe":true,"url":"http://... }, затем ссылки стали шифровать ({"hit":true,"data":"Yvzcjqze5dQ..."}), а баннеры заменили на новые, с кодом расшифровки (обратную совместимость оставили):

    [​IMG]

    Во всех случаях URL, возвращаемый сервером, вел на различные эсплойт-паки, и открытие его в iframe могло привести к загрузке вредоносного ПО. Эксплойты использовались старые, с различной полезной нагрузкой.

    Эта баннерная сеть оказалась довольно распространенной. Мы обнаружили более тысячи площадок, использующих данную рекламу (крупных сайтов среди них, к счастью, не оказалось), причем, трафик на них был, в основном, зарубежный, хотя сама ,баннерная сеть российская (мы обнаружили на тематических форумах объявления о выкупе рекламных мест и заказе флэш-баннеров от ее владельца).

    [​IMG]

    Второй интересный момент — собственно использование флэш-баннеров для осуществления drive-by загрузок. Способ, безусловно, не новый, но нечасто встречающийся, тем более в массовых атаках.

    Мы полагаем, что вредоносной баннерной сети удалось проработать несколько месяцев, оставаясь незамеченной антивирусами. В пользу этого говорит тот факт, что на следующий же день после того, как мы обнаружили и задетектировали домены этой сети, их сервера вообще перестали отвечать на запросы. Спустя примерно неделю злоумышленники сделали попытку реанимировать сеть, обновив домены и коды, но, по нашим оценкам, детектирование доменов и баннеров (нами, и, возможно, другими вендорами) привело к уменьшению числа вебмастеров, использующих эту сеть.

    «Лаборатория Касперского» блокирует все домены данной сети и детектирует вредоносные флэш-баннеры как Trojan-Downloader.SWF.Iframe.l.

    Источник
     
    3 пользователям это понравилось.

Поделиться этой страницей