来自恶意广告的新威胁

　　从根本上说，我们之所以能够免费使用各种网络服务是因为它们有在线广告的支持。在线广告是一个高达数十亿美元的庞大业务，由大规模的多层次广告网络基础设施所支持，其中不仅包括合法的广告商也包括网络罪犯。实际上，安全厂商Blue Coat 公司2011年网络威胁报告指出：恶意广告已经在2011年攀升至10大网络攻击方法中第3的位置。下面将介绍这种新现象的原理，以及如何最好地应对它的某些结论。

　　在线广告与恶意广告

　　广告网络采用附属网络营销模式，其中广告商与大量的出版商(有大有小)合作进行广告宣传。出版商会根据引向广告商的流量来获得广告费。这个复杂的附属网络类似与出版商和附属计划之间的中介——B2B协议，根据访问包含厂家在线广告的页面的访问量、观看量或点击量付费。

　　这个基础设施庞大而复杂，包含大量的微型交易、业务关系以及广告与点击链接目的地之间的联系。可信赖的大型知名广告网络域可能向较小、新且不太值得信赖的广告域外包业务。由于广告投放商和广告投放地点之间有着多层次的分离和自动化，信誉和信任度经常是假定或通过附属网络层继承得来。

　　网络罪犯喜欢利用其他人的信任和信誉——及其基础设施——向尽可能多的人提供恶意软件。向合法广告网络注入恶意广告让网络罪犯能够广撒网而不会露出痕迹。

　　网络罪犯将：

　　->创建一个无害的新广告或广告域——一旦获得大多数防御措施的信任和允许，即转化为某些具有威胁的东西;

　　->或，感染其他人的可信网络广告，使用与感染可信、高信誉网站相同的注入或感染方法。

　　恶意广告活动就类似于任何实际的广告活动，但会突然或静悄悄地重新改动广告本身或其链接以提供恶意软件负载。此负载然后会感染用户的计算机、盗窃登录名和密码或从用户处盗窃金钱或数据。

　　我们首先看一下广告如何从附属网络进入网页，以及网络罪犯如何利用已经成为网络广告领域特征的附属网络基础设施。

　　通常，网站拥有者向与其有关系的主广告商提供广告空间。这是一个自动化过程：当某个页面因为某个新闻等原因受到大量访问时，文章中的关键词即发送给主广告商的软件。例如，‘高尔夫’、‘佛罗里达’和“奢侈”等关键词针对的是有兴趣到佛罗里达海岛度假的高端消费人群。这款软件寻找是否有与其高度相关的广告。如果主广告商没有针对这些人群的广告，或广告成本超过了客户的预算，这款软件就会从其附属网络中寻找针对性不那么高的广告(费用更低)。如果此附属网络没有合适的广告或不愿意为普通广告支付二级费用，他们可以从他们的附属网络中寻找低廉/普通广告。这个产业链会一直找下去。

　　很明显，这个附属/合作伙伴/子附属协议网络以及广告网络之间模糊的责任为恶意广告或恶意广告域提供了钻空子的良机。

　　现在，像所有网络广告一样，恶意广告也会有针对性(通过“结算中心”或“数据保护”等关键词)地让广告的效果最大化，并且他们在网站之间创建动态但有针对性的链接，目的就是吸引特定类型的受众。

　　试图绕过安全措施的转变和时机战术

　　恶意广告攻击的一个主要特征是恶意广告或广告域将从无恶意内容开始以多次通过安全软件的检查，从而获得干净的评价和良好的信誉。

　　就像间谍小说中的潜伏者，耐心会得到回报。花费时间在广告网络中获得良好的声誉并通过多次恶意软件扫描，网络罪犯在网络广告结构中赢得了可信赖的宝贵信誉，然后发动攻击。当潜伏者启动后，广告背后的路径就会改变，把点击导向恶意软件主机，而此恶意软件连接能够在有针对性的活动中执行最邪恶的任务。第二天，他们就消失了。

　　网络罪犯的恶意广告战术倾向于在周末发起攻击，因为周末时IT工作人员比较少，防御尚未更新，这就使得攻击被发现的可能性降低。记住，典型的网络防御都需要更新——在安全系统能够对新威胁采取措施之前，必须应用新的数据库。

　　应对恶意广告的基础性技术

　　网络罪犯经常等待数个月的时间来建立合法的广告基础设施，目的是在最合适的时间攻击用户并骗过以前基于信誉的防御。很明显，当面临恶意广告时，安全系统不能依赖信誉来判断需要阻止哪个广告。相反，我们需要的先进安全系统应该能够实时评价网络属性以及他们所依赖的广告。

　　类似地，我们不能等待在计算机上安装“安全更新”，它或许已经太迟了。如果安全系统有任何“点击此处更新定义文件”等要求，它就很可能无法保护用户，特别是在周末。对在家、路上或办公室的用户的保护必须按需提供，你应当寻求基于某种云安全模式的安全系统，它能提供按需保护。

　　恶意软件攻击的剖析

　　下面是Blue Coat安全实验室近期在印度发现的一起典型恶意软件事件。

　　• 像世界上的很多免费新闻网站一样，印度的一家主要娱乐新闻网站 – screenindia.com – 通过广告生存。

　　• 其中一个第三方广告链接至doubleclick.net，一个知名、受尊重的广告域。在这个情况下，此广告是受感染的可信广告。

　　• 从doubleclick.net，一些JavaScript引向了daniton.com，这看上去是此附属网络值得信赖的一部分。

　　• 在最初访问daniton. Com时，此广告网站未作任何事情，但后续的访问提供了一段加密的JavaScript。

　　• 来自daniton.com的这个JavaScript会在原始主机页面注入iFrame标签。

　　• 此iFrame偷偷地请求用户的网络浏览器调用真正的恶意软件主机(有趣的是，它的地址每天都在变化)，从而下载PDF漏洞文件。

　　• 另外也比较有趣的是：此iFrame的一个功能是查找用户机器上Acrobat Reader的版本，以便利用针对此版本的漏洞，从而达到尽可能最好的效果。