原标题:Malvertising恶意网络广告蔓延,思科呼吁全球联手对抗
图片来源:李宗翰摄影
网际网路的世界中,为了促销各种商品与业务,广告几乎无所不在,但如今这些行销网页、网站,也已成为恶意人士发动大量攻击的主要途径之一。根据思科Talos安全情报与研究事业群的分析,运用线上广告来执行攻击的手法,包括:嵌入其他网页的广告、下载非必要的广告程式(PUA)、点击广告诈骗(Clickfraud)、恶意网页广告攻击(Malvertising)。而12月1日举行的台湾骇客年会HITCON Pacific 2016上,思科威胁研究部门的主管Earl Carter特别呼吁与会者需注意这类威胁,以及介绍他们先前对于的处理经验。
在恶意网页广告攻击过程当中,漏洞攻击包会趁使用者以浏览器检视一些网页时,发起初期重新导引连结的动作,而这个攻击点称为「旋转门(Gate)」,通常是被侵入的网站或是恶意的网路广告平台,同时,该处的存在,也让漏洞攻击包能够做到快速转移的效果——攻击者可快速更换实际的恶意伺服器所在位置,而不需改变初始重新导引的动作,如此一来,漏洞攻击包能够产生作用的期间,就可以维持得更为长久,不必为此经常修改位于感染源头的网站或广告内容。
而以恶意网页广告所用的漏洞攻击包来说,ShadowGate这个「门」是由Talos所发现和命名的,并且在今年马来西亚Hack In The Box大会上首度对外公布。不过,ShadowGate其实在2015年就被找到,但一直没有明显活动的迹象,直到后来开始发动大规模的网路流量,它能引发全球性的攻击,因此遭殃的网站也遍布全世界——例如,影响了美国、加拿大、中东、中国、纽西兰等地区的网站,而且有人指出,当中用的是一套名为Neutrino的漏洞攻击包,攻击过程中,会散播各种恶意程式弹头(payload),例如勒索软体。
既然ShadowGate的活动开始曝光,企业开始採取一些动作,希望能扼止威胁。例如,ShadowGate名称的由来,就是因为运用对主机进行网域名称掩护(Domain shadowing)的手法,来主导整个活动,而且Talos发现部分是经由GoDaddy这类主机代管商来注册网域名称,所以Talos也和GoDaddy合作,请他们协助禁用相关的网域名称。而在封锁之初,旋转门也转移阵地,于是他们又继续追蹤下去,发现了第二组伺服器的活动,随后GoDaddy就关闭了该网域名称的使用。
Earl Carter提到,与GoDaddy的密切合作,对于能否有效阻绝恶意网页广告攻击,是至关重要的因素,所以,现在的漏洞攻击包所用的「旋转门」,已经遭到破坏,连带地,Neutrino漏洞攻击包在全球各地进行大量感染的态势,也因此减缓了。
该怎幺看待ShadowGate这个攻击事件?Earl Carter提出警告,他说,漏洞攻击包影响範围,已经扩及全世界,各大洲都受到这个威胁的冲击,而且,他们目前已经发现相关的恶意网页广告,已经出现英、中、阿等三国语言的内容。因此,他认为关于线上广告内容的资安问题,仍是未来的重大挑战,并呼吁网站经营者除了要专注营收之外,更要重视安全风险。
相关:
正在墨西哥举行的C40市长高峰会(C40 Mayors Summit )1日指出,为了抑制气候变迁,全球的大城市将需要投入3,750亿美元资金。C40新任主席、巴黎市长伊达戈(Anne Hidalgo)1日表示,这是一大笔经费,但他们别无选择,一旦
恶意程式“雪崩”危害全球,包括我国调查局在內,共三十一个国家派员在荷兰海牙欧洲刑警组织成立专案小组,前天在全球同步执行收网,共逮获五名外籍人士,搜索三十七个处所,扣押伺服主机三十九部,强制离线伺服主机
法务部调查局与各国警方合作,破获代号雪崩(Avalanche)的网络犯罪集团,该集团专门散布恶意程式,在德国产成600万欧元损失。针对此案,台湾调查局人员与全球31国家执法机关,派员在荷兰海牙欧洲刑警组织成立专案组研
实时热点 11月28日凌晨曝出某航空公司曝出机长呼吁乘客下机事件,云南祥鹏航空由西双版纳飞往昆明的客机,机长因不满被“插队”延迟起飞,呼吁乘客下机到停机坪“抗议...11月28日凌晨,云南祥鹏航空由西双版纳飞往昆明
恶意程式Gooligan借冒牌程式蔓延,入侵逾100万个Google帐号
示意图,与新闻事件无关。 安全设备厂商Check Point警告,一只名为Gooligan的恶意程式透过冒牌程式蔓延开来,并可能入侵超过上百万Google帐号。?安全研究人员表示,Gooligan是由该公司研究人员去年于SnapPea app中