S tím, jak mezi kyberzločinci roste oblíbenost šíření malwaru pomocí on-line inzerce, musí reklamní průmysl přehodnotit způsoby zpracování on-line inzerce.
Jen v srpnu letošního roku odhalili výzkumníci antivirové společnosti Malwarebytes několik kampaní vytvořených k šíření malwaru (tzv. malvertising) včetně velké kampaně, která vložila škodlivé reklamy do reklamní sítě používané společností Yahoo a jejími tematickými weby, jako jsou Zprávy, Finance a Hry.
Stejný zločinec napálil také reklamní síť, kterou používá eBay. A podobné kampaně postihly také návštěvníky seznamky PlentyOfFish a webu s mediálním obsahem, který slouží australskému telekomunikačnímu operátorovi, a stejná reklamní síť zobrazila škodlivé reklamy rovněž v síti MSN, uvedl Malwarebytes.
Malvertisingová kampaň, která podvedla návštěvníky webu Yahoo.com, byla dílem ruského útočníka jménem Fessleak, uvedl Patrick Belcher, ředitel bezpečnostních analýz ve společnosti Invincea.
Fessleak koupil videoreklamy přes reklamní síť, aby tak mohl zaútočit na návštěvníky webu Yahoo, a vytvořit tak z napadených počítačů síť botů generujících podvodná kliknutí a instalovat vyděračský software (ransomware).
Ukazuje se, že Fessleak vždy používá ve svých kampaních zranitelnosti nultého dne technologie Flash, což mu usnadňuje zaměřit se na velký počet obětí, které nemají šanci tyto chyby opravit.
Informace o exploitech nultého dne od Hacking Teamu (dodavatele sledovacího softwaru pro vládní účely), které se dostaly na veřejnost, byly pro Fessleaka doslova „zlatý důl“, popisuje Belcher. Přestože Adobe zranitelnosti opravilo, uživatelé, kteří opravy neinstalovali, jsou dosud vůči útoku zranitelní.
Fungování malvertisingu
Malvertisingová kampaň má v podstatě dvě části: samotnou reklamu, která obvykle přesměruje oběti na jiný web, a webové stránky útoku, jež obvykle hostí sadu exploitu, jako jsou například Angler nebo Nuclear.
Sada exploitů obsahuje několik různých metod útoku a hledá neopravený software a další zranitelnosti, aby tak mohla do počítačů uživatelů nainstalovat škodlivý software – například malware generující falešná kliknutí, botnety, ransomware a bankovní trojské koně.
V současné době jsou oblíbené sady exploitů zneužívající zranitelnosti nultého dne technologie Flash, popisuje Belcher.
V případě australského operátora Telstra byla návštěvníkům zobrazená škodlivá reklama vytvářející dojem, že je na prodej automobil Lamborghini Gallardo, ale zkrácená adresa URL (přes zkracovač odkazů Google) poslala uživatele na web se sadou exploitů Nuclear, který instaloval bankovního trojského koně, uvádí Jerome Segura, výzkumník společnosti Malwarebytes.
Zločinec se přitom nezaměřuje při vkládání škodlivé reklamy do reklamní sítě na konkrétní web nebo skupinu uživatelů, ale na kategorii webů nebo profil typické oběti. Síť sama potom rozhoduje, kdy a na jakém webu se taková reklama zobrazí v závislosti na kategoriích určených inzerentem.
Fessleak se například zaměřuje na komerční weby, ale dalším oblíbeným cílem je kategorie širokopásmového přístupu, která zahrnuje weby vlastněné poskytovateli přístupu k internetu a telekomunikačními operátory, jako je například Telstra, vysvětluje Belcher.
Malvertisingové kampaně v minulém roce vzrostly o 325 procent, uvádí zpráva společnosti Cyphort Labs. Podobná zpráva od Risk IQ zjistila nárůst malvertisingu o 260 procent v prvním pololetí roku 2015 ve srovnání se stejným obdobím v roce 2014.
A firma Invincea považuje malvertising za jednu z největších hrozeb pro zabezpečení koncových bodů – způsobená škoda v prvním pololetí roku 2015 se odhaduje na 525 milionů dolarů. Tato zjištění vedla Belchera k tomu, že označil letošní červen za „vůbec nejhorší měsíc malvertisingu“.
Podvádění reklamní sítě
Chce-li zločinec zahájit kampaň, musí nejprve podvést reklamní síť, aby akceptovala jeho inzerci. Mnoho těchto sítí usnadňuje zahájení inzerce pomocí otevřeného registračního formuláře a poměrně nízkého poplatku.
Když útočník používá ukradenou kreditní kartu či peníze získané dalšími on-line podvody, není poplatek například 400 dolarů vážnou překážkou vstupu, připomíná Belcher.
Tento jednoduchý přístup je důvodem, proč se některé z menších reklamních sítí v poslední době spojily, aby stanovily osvědčené postupy, jako jsou například zákaz otevřené registrace a zavedení vyšších vstupních poplatků, popisuje. Požadavek důkladné kontroly původu a poplatek pět tisíc dolarů měsíčně obvykle podvodníky zastaví.
„Útočníci využívající malvertising jsou notoricky lakomí,“ tvrdí Belcher. Snaží se maximalizovat své zisky a nechtějí měsíčně platit vysoké poplatky.
Dalším způsobem, jak útočníci podvádějí reklamní sítě, aby byli považováni za legitimní inzerenty, je korektní chování na začátku. Jakmile reklamní síť schválí reklamu, může inzerent zaměnit reklamu za škodlivou, která přesměrovává na útočný web, aniž to síť zaznamená.
Je to ještě snadnější, když je inzerentovi dovolené hostit reklamu na jeho vlastních serverech namísto serverů příslušné reklamní sítě. To umožňuje útočníkům používajícím malvertising sledovat příchozí IP adresy, tak aby zobrazoval korektní reklamu pro skenery reklamních sítí a škodlivou reklamu všem ostatním.
Přestože některé z větších reklamních sítí požadují, aby byla všechna inzerce umístěná na jejich serverech, ne vždy to tak je. Reklamním sítím se totiž nemusí chtít platit náklady za servírování všech reklam nebo si inzerenti mohou přát mít reklamy u sebe kvůli lepšímu sběru metrik.
Pokud jsou všechny inzeráty hostované v síti, je těžší reklamu zaměnit, ale inzertní průmysl jako celek zatím tuto praxi nezavedl.
Tento obor uznává, že je malvertising problémem, a snaží se stanovit osvědčené postupy, prohlašuje Belcher. Nemusí to být nutně technologický problém, protože zločinci dokážou podvést skenery a další použité mechanismy.
Je třeba použít osvědčené postupy a nové procesy, které zajistí, že se do sítí dostanou jen legitimní inzerenti, vysvětluje Belcher.
Skutečnost, že exploity od Hacking Teamu byly součástí sad použitých v nedávném řádění malvertisingových útoků, nebyla pro výzkumníky překvapující, protože tvůrci útočných sad pravidelně své nástroje aktualizují, aby obsahovaly zranitelnosti nultého dne v technologii Flash.
Sady Angler a Nuclear, obě použité v nedávných malvertisingových kampaních, patří mezi několik sad exploitů oblíbených mezi současnými kyberzločinci. Angler patří mezi nástroje s nejrychlejší implementací nově odhalených zranitelností nultého dne a byl prvním, který implementoval zranitelnosti nultého dne uniklé od Hacking Teamu.
Díky sadám exploitů již zločinci nemusejí mít vysokou úroveň schopností, aby zahájili kampaň s důmyslnými nástroji, vysvětluje George Kurtz ze společnosti Crowdstrike. „Na trhu si můžete koupit to, co potřebujete,“ prohlašuje Kurtz.
Formování obrany
Malvertising zneužívá běžné chování webu, kdy uživatelé přicházejí na weby a s obsahem, o který mají zájem, se jim zobrazují také reklamy. Proto je těžké tento vektor útoku blokovat. Podniky a uživatelé by měli udržovat operační systém a nainstalovaný software v aktuálním stavu pomocí nejnovějších oprav, aby sady exploitů neměly ve zranitelnostech snadný cíl...
Tento příspěvek vyšel v Security Worldu 4/2015.Oproti této on-line verzi je výrazně obsáhlejší a přináší další poznatky a tipy, které lze využít při praktické implementaci u vás ve firmě.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.