社区为您汇总了《每月热点威胁》系列分享,点击查看思科《每月热点威胁》持续更新中……
就当下的互联网使用体验来说,网络广告绝对是一个不可或缺的组成部分。它们不仅为网站正常运营的维持提供必要的资金,还为新内容的创建提供极大的支持,因此从许多方面来看,网络广告可以称得上是许多网站赖以生存的命脉。
尽管我们在上网时看到的广告貌似只是您所访问的网站的一部分内容,但实际情况远比这复杂。在其背后是一个由广告商、分支机构和广告交易平台构成的复杂网络,他们共同负责将广告呈现到网络使用者面前。围绕广告投放的整个过程,目前已经建立起一个完整的产业,并且整个产业每年所创造的收入预计将超过 1,000 亿美元。通过跟踪用户访问的网站、广告点击情况以及其他一些指标,便诞生了目前已经非常普遍的定制广告体验。
这些广告有些很有意思,有些则令人反感。后者便是影响用户上网体验的一个重要原因,比如浏览页面时弹出的广告,出现在文章中间的广告,或有时容易与网页内容混淆的“赞助广告”。
再者,对许多合法的网站及内容创建者来说,广告收入是他们一项非常重要的收入来源。而这可能会让努力维持上网安全的用户感到更加困扰,原因就在于合法的网站可能会敦促用户关闭他们已安装的所有广告拦截软件。类似的情况还包括内容创建者为了更好地开展工作,会让用户与其发布的广告进行互动。简言之,广告文化已然遍布整个网络空间。
这类广告可能暗含危机。由于恶意攻击者已经掌握了如何通过入侵广告网络来投放恶意内容,因此恶意广告(英文简写为“malvertising”)早已成为一种屡见不鲜的威胁。尽管您肯定会采取一些应对措施,但是想要防止您个人以及您所在的组织完全不受恶意广告的影响,到目前为止还没发现什么简单可行的妙招。
对当下广告网络的分析
网络广告的投放方式有很多种,而广告交易平台只是当下最常见的一种。整个过程的参与方分为三类,包括将广告发布到网站上的发布商,承接广告位招标的交易平台,以及在网站上赢得广告版面的中标广告商。
整个过程与汽车拍卖的过程基本类似。卖方(网络用户)会将他们的汽车(广告位)放在拍卖行(发布者)进行展示。拍卖师(广告交易平台)报出起叫价后,由潜在买家(广告商)出价。最高出价者即为被拍汽车的最终买主,负责将车款(广告费)支付给用户。
而具体到网络广告的投放来说,整个流程可以这样描述:
- 用户请求包含广告空间的特定页面。
- 发布者收集与用户相关的信息,并将其提供给广告交易平台。
- 广告交易平台将可用信息告知广告商,并创建页面广告投放竞拍。
- 广告商分析他们是否有适合投放的广告,并针对广告位的具体情况进行相应地出价。
- 中标信息被回传至发布者,由发布者负责面向用户投放广告。
广告网络流程
整个竞标过程仅需要不到一秒钟的时间。借助这一快速竞标机制,从点击链接到页面加载这短短的一小段时间,足以完成多场竞价。
用来推动竞价流程的关键数据(也就是广告商借以明确竞标标的以及具体报价的数据)通常是围绕用户收集到的信息。页面加载时便能明确获取到的用户信息通常包括地理位置、使用语言、浏览器类型和版本、以及操作系统信息。如果您加入了通过第三方 Cookies 收集的信息,例如年龄和其他人口统计信息,信息收集范围也会随之扩大。
凡事都是不尽完美的
广告商希望广告交易平台能够帮助他们以更低的成本,顺利将广告投放到目标客户。但是广告商的资质门槛很低,因此对于规模较小的企业和卖家来说,这在很多方面促成了他们得以在网上轻松散播广告的必要条件。然而,这也为恶意攻击者创造了条件。
由于许多广告交易网络都没有接受过严格的审查,于是让网络罪犯有机可循,很容易就能入侵到这些网络的内部,并与合法广告商一起竞标广告位。恶意攻击者不仅如此,恶意广告商还会利用通过围绕用户所收集的信息而获得的优势。例如,如果恶意攻击者发现用户使用旧版 Google Chrome 浏览器,他们就有机会进行出价,而且一旦胜出,他们就能投放恶意广告,以操控那些存在漏洞的浏览器。
还有一点很重要,那就是网站在利用广告网络作为广告展示平台时,必须要确保广告网络是合法且安全的。因为他们几乎难以筛查哪些广告是恶意广告。如果识别到恶意广告,尽管网站所有者可以从技术层面上将其移除,但对于已经受影响的用户来说几乎起不到任何防护作用。鉴于这一点,我们必须提醒用户不要把对特定网站的信任与该网站中显示的广告混为一谈。
深植在恶意广告中的重定向连接
尽管还有其他可行的方法,但是网络广告并非是完全开放的,而且有些的确需要接受一定的审查。这就意味着恶意攻击者在将用户直接引向存在漏洞或恶意有效载荷的页面时,不一定不会败露。
为此,恶意攻击者选择采用重定向手段。简单来说,就是如果某个 URL 或网页中被植入了重定向代码,那么浏览器就会转到另外一个站点以检索它正在搜索的内容。而恶意攻击者很多时候都会在登陆恶意网页之前,通过一系列 URL 将用户重定向到新的网页。
恶意攻击者可通过多种方式来完成这项操作。目前最常见的方法之一即在 HTTP 协议中使用 302 请求。这时浏览器会收到他们正在寻找的页面已被临时移动到另一个位置的通知,以及一个新的 URL。
在另外一些情况下,恶意攻击者还会借助 HTML 或 JavaScript 来执行重定向。有些技术,例如 JavaScript location.replace 方法,甚至不会在浏览器历史中留下任何记录,从而掩盖其对用户进行重定向的行为。
有效载荷交付
恶意攻击者可通过这种方法来试着散布他们想要散布的任何一类有效负载。用户页面上显示的最终内容很多时候都是一则广告,用来吸引用户下载提供特定服务的广告软件或 PUA(可能有害的应用程序),但实际操作时,它们很多时候都会通过展示更多广告来实现这一目标。
还有就是恶意广告会打开一个窗口或一条提醒,欺骗用户误以为他们的软件已经过期。但是,如果用户试着安装假的更新程序,就会发现自己已经被恶意软件感染。
伪造的 Flash 更新
然而最令人担忧的问题在于,恶意攻击者可借助通过广告交易平台搜集到的用户信息来发动主动攻击。例如,它们可以仅选择对 Internet Explorer 用户发布的广告进行出价。中标后,就能以它们的“广告”为载体发送 Adobe Flash Player 漏洞。如果 Flash 版本过旧,那么即使用户没有点击广告,计算机也会被攻击。恶意攻击者从一开始就利用了浏览器的安全漏洞,除了加载包含广告的网页,还迫使用户进行零交互。
广告网络投放的目标选项
恶意广告的防御
防御恶意广告入侵的最简单途径即屏蔽广告以及与第三方网站(URL 中指定域之外的网站)的连接。大多数主流浏览器都支持广告拦截插件,并且有些现代浏览器也会自带相应的防护措施。
但是,如果对网络广告的态度过于激进,则很可能会影响网站的性能。有时还会造成重要功能和组件的损坏。现在已有许多网站从一开始就禁止带广告拦截功能的浏览器浏览其网站,因此用户如需浏览其网站内容,首先需要禁用广告拦截功能。而且在某些情况下,如果广告商通过支付一定的费用来防止其广告被拦截,那么广告拦截软件则会允许部分特定的广告被显示出来。
针对当前的广告网络环境,我们的确无法找到一种简单的解决方案来抵御所有类型的攻击。分层法便成为当下抵御恶意广告的最有效途径。
- 域名级防护,例如思科 Umbrella 提供的防护措施,将有助于阻止指向恶意域名的重定向连接,最常见的操作便是在链接中途阻止一系列重定向连接。
- 终端保护应用程序,例如终端 AMP,可防止恶意负载被安装到遭受恶意广告攻击的计算机上。
- 包含 IPS 签名的网络安全设备,例如下一代入侵防御系统,可用于检测各种恶意活动,例如专门针对存在漏洞的软件发起的攻击。
- 思科推出的安全互联网网关和 Web 安全设备内置一系列 Web 漏洞扫描功能,可有效阻止对恶意站点的访问。
每月热点威胁系列
如今,我们面临着巨大的安全威胁挑战,业内领先的威胁研究和情报团队思科 Talos 会收集分析大量有关威胁态势的数据,我们每个月都会依据思科 Talos 的最新发现,持续发布不同类别热点威胁的信息,帮助您了解最新的威胁信息和最佳防御实践方法。
文章来源:思科联天下
延展阅读:
高能“预警”!思科《每月热点威胁》第一弹:SMB与蠕虫的卷土重来
思科《每月热点威胁》第二弹:潜形匿迹的无文件恶意软件!
思科《每月热点威胁》第三弹:谋财又害命的数字勒索诈骗!
思科《每月热点威胁》第四弹:社交媒体和黑市
思科《每月热点威胁》第五弹:受到攻击的DNS
思科《每月热点威胁》第六弹:探究加密流量背后的重重威胁
