恶意广告网络的新天堂购物黑名单

　　恶意广告已经成为网络罪犯钟爱的“摇钱树”，给网络安全造成了极大的挑战。恶意黑客们在这块沃土上繁荣昌盛，而各大互联网巨头的网络广告则成为了一个天然呆萌的共犯，不经意间通过的流程向不知情的用户推出了恶意广告。

　　给这种恶意黑客行为火上浇油的是广告实时竞价（RTB）。作为一种性的线上广告售卖方式，RTB可以让广告更加精准，同时也减少了广布方的未售出广告位，但同时也带来了极大的危害，黑客利用RTB在任意看中的网站上挂出他们的恶意广告，就像的广告买家一样，使用同样的系统。

　　在线广告可定位用户

　　安全公司Invincea称，地理定位的广告能精确标定广告地理，将在特定的国家甚至某个住宅区。利用这一点，者可以将恶意广告的目标锁定某家公司的公共IP空间，或者更普遍的做法是从用户购物习惯进行分析而放置恶意代码，再有就是是通过在大流量的网站上放置点击的内容。

　　“RTB使得恶意软件编写者更容易锁定个人者。在RTB出现之前，你不得不先攻入广布网络。而现在，你不仅可以竞得广告位，还能利用同一个平台精准定位你想的任何人。”

　　现在几乎所有的广告都是RTB模式，因此任何时候只要你听到恶意广告，那肯定是在利用RTB在大肆。而且，涉足恶意广告领域的者通常都比防御者棋先一招，他们挖掘广告网络在控制上的漏洞以避开扫描。而且即使恶意广告活动被发现，这些活动一般也只几个小时就自毁，令广告网络无法及时对假账号采取有效对策。

　　恶意广告的工作机制

　　者利用在线广告可以建立僵尸网络，恶意软件，甚至传递针对性中使用的复杂漏洞利用程序。其精妙之处在于恶意广告策略可以轻易地成功实施。

　　下面我们来看看者的工作机制：

　　首先，他会创建一个假的公司，冒充的广告买家来购买广告位。

　　然后，者放置好漏洞利用代码的受控网站（或说被挂马的网站），坐等者。

　　一旦选定者，无论是根据地理上的实体还是通过用户类别来甄选的，黑客都会通过RTB进行广告竞价，将自己的广告在目标网站上呈现。

　　用以支撑竞价的钱通常都是偷来的，或者是从点击或是其他恶意软件活动中攫取来的。当广告竞价胜出，带有漏洞利用或是iframe重定向到漏洞利用站点的恶意广告便通过广告网络出去了。

　　黑客们在收集到足够的者以支撑他们建立新的僵尸网络或点击网络，或者偷到足够的银行密码以盗取账户里的钱财，之后会很快丢弃他们伪造的登录页面。

　　“恶意广告一直在持续增长，因为广告网络触及很多以前从未涉猎的角落。现在，基本上每个站点，甚至银行，都在使用‘双击’（DoubleClick：美国一家网络广告服务商）。你回避不了它。”——白帽子安全实验室罗伯特·汉森

　　一方面是因为网络广告激增，另一方面则是者发现这种手段简直太容易了。它比网站轻松，而且广告空间也不像网站那样，有可能被逮到因此而付出代价。

　　第三方广告内容托管的风险

　　广告网络和RTB的出现是对速度和效率的追求。因此，广告位提供方大多不想在自己的服务器上存放广告内容。于是，常见的做法就是允许第三方内容被放进广告里，实现丰富的在线广告显示。这种办法对广告而言很好，然而黑客也可以利用它在广告中塞入他们自己的第三方服务器上的恶意Flash动画文件或JavaScript脚本。这些文件通常不需要用户交互就能触发漏洞，仅仅是使用了没打补丁的IE、火狐、Chrome等浏览器访问页面，就会被重定向到含有渗透代码工具的另一个网站上。这种工具包随后会在者主机上留下代码，可能是网银木马、点击恶意软件，甚或软件。

　　“在2014年第四季度，我们看到了通过恶意广告的软件Cryptowall的变种。奇怪的是，在过去3到5个月里，它并没有大范围，但绝对出现了更多的感染。这是违反直觉的，是来自者的一个大胆举措。软件与传统恶意软件不同，它们通常希望保持隐秘。一旦中了软件的招儿，你要么支付赎金，要么只有坐等系统被清空资料被清盘。从软件的使用我们可以看出，恶意广告就是为了钱。”

　　▲罗伯特·汉森

　　作为与黑帽黑客对立的白帽黑客，汉森表示，用户总能通过一些浏览器制造商或第三方提供的插件来屏蔽广告。然而，选择屏蔽广告的用户数量相对较少。

　　安全公司WhiteOps共同创始人兼CEO迈克尔蒂凡尼认为：

　　“巨大的市场压力要求一切都自动化。这方面你做得越好，发展便越快。但问题在于，你怎样在排除的创新和自动化的同时提供最大限度的性。解决之道也许在于信誉系统。类似网站和电子邮件完整性的信誉系统可以恶意广告的蔓延，多端的用户账户也会被封。你当然清除不了所有的黑客方法，但必须能让这些不会大范围成功。我对此持乐观态度。”

　　▲迈克尔蒂凡尼

　　恶意广告已不再仅仅是点击

　　许多大型网站都曾做过恶意广告的，涉及范围横跨互联网各方各面，包括大型新闻和娱乐网站、搜索引擎和其他很多站点。恶意广告染指的范围扩大是不争的事实——只要黑客们想这么干，而且者的收益也不仅仅局限于点击欺诈。

　　几乎所有恶意广告都通向代码工具包，一些像垂钓者（Angler）之类的工具包还配有软件，这些赎金软件能用户交出价值几百美元的比特币以赎回自己机器的控制权或解锁被恶意软件加密的文件。

　　去年十月Invincea发现了一起称之为“死亡点击行动（Operation DeathClick）”的高级持续性。这起中，恶意广告进入了有国家支持的针对国防工业基础的领域。死亡点击行动的恶意广告类型相当明确，目标的选择基于一串长长的特征列表，包括像Flash、操作系统、Java和浏览器版本之类的用户代理字符串；基于cookie，与内容相关的兴趣点；用以锁定特定行业、公司和个人的地理和基于公司的IP地址范围。

　　恶意广告的商业动机

　　从商业利益上来讲，广告商需要恶意广告的蔓延。但屏蔽广告或者屏蔽网络广告的做法只能作为不得已而为之的最后手段，而且把已知恶意网站拖入尽管容易许多，但也同样会被黑客快速放弃，因而也不见得是真正可行的选择。

　　比如，Blue Coat的代理列表中就含有广告竞价网络，这对广告网络而言可不是好事。一旦被，就不能在企业中发布广告。如果一家广告网络公司臭名昭著到被封了，会对其生意带来严重的打击。这是对过多分发恶意软件的终极惩罚。

　　广告网络应该有着尽可能干净的动机，达成这一目的的简便方法是自己的内容自己管，但大多数广告交易平台都不想在创建自己的存储空间上进行投入。获取最大控制和让这些烦心事消失的最佳方法就是在广告交易系统批准新用户和新内容的时候，内容必须托管在交易系统上，而不是由第三方托管来发布。第三方托管发布就是黑客能够分发他们自己内容的途径。消除这一途径是最佳也最快的减少恶意广告的方法。

　　最后，不允许各式各样的广告代码，除非这些代码都在你的网站上，而且你还能证明代码做的都是的事。不执行额外的功能，不允许重定向，也不允许运行代码。

　　也许这样做有些过于严厉，但相比于恶意广告带来的对广告市场及用户的双重危害来说，还是有必要的。