惡意廣告又找到了新的方法繞過廣告屏蔽工具

廣告屏蔽工具已經稱為我們對抗惡意廣告活動最後的希望了，但這個最後的保護屏障似乎也已經坍塌了。因為Malwarebytes近期發布了一項研究報告並詳細介紹了一種惡意廣告活動，而這種惡意廣告活動可以成功繞過廣告攔截工具併發送惡意Payload。

這個惡意廣告活動名叫RoughTed，根據Malwarebytes安全研究專家Jérôme Segura透露的信息，雖然這個惡意廣告活動在2017年3月份才被他發現，但目前有足夠的證據可以表明RoughTed已經上線超過一年之久了。從攻擊者的角度來看，這個惡意廣告活動設計得非常複雜，它利用了多種黑客技巧來掩蓋自己的活動蹤跡，所以我們直到現在才發現這個惡意廣告活動。

「多樣性」這個詞用來形容RoughTed是最合適不過的了，這個惡意廣告活動背後的攻擊者不僅可以提供多種不同來源的網路數據，而且還在惡意廣告活動中添加了各種不同的用戶指紋識別技術，並通過惡意廣告活動來傳播不同的惡意Payload。

Adf.ly、Extra Torrent和Openloud都在傳播惡意廣告

這個惡意廣告活動可以在成百上千家網站中顯示惡意內容，其中的某些網站為小型的個人網站，但也有很多AlexaTop 500的網站也出現在了我們的名單里。Malwarebytes表示，他們已經在例如Adf.ly、Extra Torrent（已下線）、Openloud和Ouo.io等熱門網站上檢測到了RoughTed的身影。

根據Segura透露的信息，自從研究人員開始跟蹤這個惡意廣告活動之後，RoughTed域名在過去三個月內的訪問量已累計超過十億次了。Segura還表示，他們在很多小型網站的源代碼中發現了攻擊者所注入的惡意廣告代碼，但目前還不清楚這些惡意代碼是網站管理員插入的還是攻擊者在入侵了網站之後才插入的。

RoughTed採用了非常激進的指紋收集策略

這個惡意廣告活動會在目標用戶的瀏覽器後台載入各種惡意腳本，這些惡意代碼會將用戶的訪問鏈接進行重定向，並通過將用戶重定向至各種不同的URL來達到攻擊者的檢測目的。

Segura認為，這種激進的用戶指紋收集策略一般來說是不會出現在惡意廣告活動之中的，因為這種行為嚴重侵害了用戶的隱私權。在RoughTed中，攻擊者所要檢測的內容包括瀏覽器類型、操作系統版本、系統語言設置以及地理位置信息等等。Segura表示，其中的某些惡意腳本是經過攻擊者精心設計的，當用戶偽造自己的用戶代理時，這些腳本都能夠迅速檢測到。這些腳本不僅使用了基於canvas的標準HTML5指紋識別技術，而且還使用了例如檢測已安裝字體列表這樣的新型技術。不僅如此，RoughTed還可以根據目標用戶不同的操作系統版本來執行不同的惡意腳本。

廣告屏蔽工具也無法阻擋RoughTed

在RoughTed中有一個最引人關注的腳本，這個腳本可以檢測用戶是否正在使用廣告屏蔽插件，如果正在使用的話，它可以想辦法繞過這個屏蔽系統。例如Adblock Plus、uBlock origin或AdGuard的用戶近期就曾報告稱，有惡意廣告破解了他們的廣告屏蔽工具，並在廣告屏蔽工具處於開啟狀態時不斷在瀏覽器中顯示惡意內容。

不過Segura表示，具備這種能力的惡意廣告活動並非只有RoughTed，還有很多其他的惡意廣告攻擊者同樣也會使用類似的繞過技術來繞過廣告攔截工具。Malwarebytes的專家表示，其他的惡意活動也會使用類似的代碼，但RoughTed的規模要更大一些。

總結

當廣告攔截工具的技術維護人員正忙著跟廣告商以及網站管理員勾心鬥角時，攻擊者此時又在背後悄悄地開發各種各樣的繞過工具。但根據目前的情況來看，RoughTed可不是一個普通的惡意廣告活動，攻擊者的目標是多樣化的，RoughTed可能會進行的惡意活動包括以下集中：

-傳播漏洞利用工具；

-通過偽造的技術支持頁面實施網路詐騙；

-在Mac端顯示惡意廣告（軟體下載又額面）；

-載入Chrome流氓插件；

-進行各種在線調查與數據收集活動；

關於這個惡意廣告活動的IoC（入侵威脅指標）以及其他的技術細節請參考Malwarebytes發布的這篇RoughTed研究報告。

* 參考來源：bleepingcomputer，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM