2014年黑帽大會:僵尸網絡和廣告活動
責編:admin |2014-08-11 11:57:07“廣告業的情況跟很多銀行業很像,一個不可避免的事實擺在廣告主眼前,那就是不能隨便相信廣告商提供給你的信息。”White Ops首席執行官Michael Tiffany說。“有時候,兩種cookies、用戶信息等都是相同的,但是只有一個是真的,其他的是假的。”
當然,Tiffany指的是通過感染實際消費者或用戶的計算機來瞄準廣告活動的僵尸網絡帶來的真正的威脅。這是比竊取登錄憑證更有效的方法,同時還可以避開異常檢測,但它也是一種更加危險的方式。
“這是世界上最復雜的非政府發起的犯罪軟件,”Tiffany表示,“搶劫銀行的最好辦法不是直接進去搶劫,而是攻擊其客戶的機器。然后在客戶登錄后開始行動。攻擊者采用的是網絡感知惡意軟件,它們會埋伏在一旁等待,直到有人使用個人資料信息來登陸。”
通過這些類型的僵尸網絡,攻擊者有兩種方法來攻擊合法機器。其中一種是后臺進程,在機器開啟時瀏覽所有內容,并通過利用用戶的cookie來有效地偽裝成用戶。
第二種方法比較復雜,是通過“瀏覽器中間人”的做法,這甚至根本不是在后臺,而是在你實際的瀏覽器上;這種惡意軟件會注入更多廣告到你的合法瀏覽會話中。
“這種情況,在我看來,我正在流量CNN.com,”Tiffany表示,“但從廣告服務器和網絡來看,我正在瀏覽有很多廣告的其他網站。”
當然,通過僵尸機器模仿人類訪客,并獲得數十億次廣告展示,這最終會讓廣告商花費數百萬美元,并完全破壞網絡指標的準確性。事實上,不僅這種欺詐活動不會被減少,企業還會花費更多錢來瞄準僵尸機器,而產生更高的開銷。Tiffany舉例說,僵尸機器不只是帶來10美分的每千人成本(CPM),而是10美元的CPM。由于僵尸網絡的傳播性質,最終將會扭曲互聯網上的所有數據。
“很少有人根據廣告來采取實際的行動,”Tiffany表示,“在攻擊者采取行動之前,你通常會展示數千次廣告,你很難判斷攻擊者將這個數字提高了50%。”
那么,這種類型的僵尸網絡已經存在多久了呢?更重要的是,它們是在增加還是減少?
“我希望我能知道!”Tiffany表示,“我們沒有縱向的數據,但有趣的是,在過去幾年,我覺得情況變得越來越糟糕,因為cookie有點像身份驗證機制。”
存在的問題是,使用異常行為來嗅探僵尸網絡的傳統做法已經行不通,因為僵尸流量來自已知合法的用戶。
“cookie正變得越來越受信任,欺詐檢測通常面對的是大數據[注],通常是異常檢查,”Tiffany表示,“當僵尸網絡能夠獲得每個用戶的信息,這是他們的制勝關鍵。”
不過,我們仍然有希望,雖然對付這種復雜的方法會非常棘手,但并不是不可能。我們可以通過查看網絡流量和區分人類網絡流量和受遠程控制的瀏覽器來檢測瀏覽器中間人惡意軟件。
“瀏覽器是非常復雜的操作環節(+微信關注網絡世界),并且有一個運行時引擎(運行以JavaScript編寫的軟件)來與硬件交互,”Tiffany說道,“另外,還有DOM(文檔對象模型)包含與瀏覽器硬件環境相關的所有方法和對象。”Tiffany及其團隊發現,無論什么時候在指令集和DOM之間構建了可編程連接,他們都會發現事情朝相反方向發展。
“如果你在DOM,我們會發現可編程連接在環境的這個部分,”Tiffany稱,“這會使JavaScript運行時環境會不同。”
檢測這些差異的技術并不一定要是靜態的,因為當受遠程控制時,環境可以通過很多微妙的方式被改變。“我們有非常龐大的參數庫,我們可以快速替換檢測技術。”
并且這是公開進行,但是系統不會泄漏任何成功/失敗信息返回給攻擊者。無論攻擊者的嘗試成功還是失敗,無論他們有沒有得到錢,他們都必須再來一回才知道他們第一回是否成功。
“他們可以看到我們的服務器,他們知道我們參與其中,但他們不知道他們是否成功或者是否欺騙到我們,”Tiffany表示,“大家都知道,瀏覽器中有很多攻擊面,我們可以利用這個特性來對付攻擊者:如果我們不能保護它,他們也不能。”
這最終會破壞攻擊者的經濟業務模式。
“如果你讓計算機每天查看廣告,任何計算機都會開始耗錢,”Tiffany稱,“如果我們切斷這個模式中制造的錢,這將會導致黑市生態系統花費很多錢。”
最終,攻擊者需要花很多錢才能成功發起攻擊,而檢測僵尸網絡則不會是昂貴的過程。
“如果我們的檢測成本低于攻擊者的成本,這將讓我們贏得這場戰斗。”