深入调查:当谷歌广告联盟(GoogleAdSense)广告遭钓鱼

  • A+
所属分类:风土人情

安全研究人员最近注意到大量的网站被莫名其妙地跳转到某几个特定的网站,经过调查,罪魁祸首居然是谷歌广告联盟(GoogleAdSense)。

上周末,我们注意到大量站长的网站都被跳转到了某个“杂志网站”,有些用户点击链接或者载入新网页时会被随机地跳转。这些用户都称,打开网页会显示个一两秒,然后就会跳转了。

lemode-mgz.com假冒“福布斯”

我们对这些网站进行了安全检测,但我们在网站服务器端没有找到任何问题。从这些受害网站的症状——先载入网页,几秒钟后跳转,表明这些是浏览器客户端方面的重定向。要么是什么JavaScript要么是Meta刷新标签导致的重定向。

可是我们在网站上没有找到能够修改网页HTML或者JavaScript的东西,所以重定向应该是第三方脚本导致的。

谷歌广告联盟惹的祸恶意广告是一个麻烦的问题。这些广告很难追查。因为广告是针对性投放的(广告商会根据不同的地理位置、用户使用的是手机还是电脑,3G还是Wi-Fi,用户的浏览记录等投放不同的广告),因此不同的用户会看到不同的广告,不同的广告活动活跃时间也各不相同。另外,广告脚本往往会加载多个其他网站的内容。例如,我们最近接触到的一个网站,它的主页中包含8个不同的第三方脚本(包括广告和网页小插件)——当浏览器载入网站时,那个网页会向249个其他域名上的资源发送上千个HTTP请求。可能这是一个比较极端的例子,但广告脚本向30-40个域名发送请求的情况还是相当正常的。尽管如此,我们还是得找到具体问题出在哪里。如果你对恶意广告的网址进行搜索,就会发现大量讨论这些重定向的帖子。搜索这个重定向地址(lemode-mgz.com)能够得到很多结果,在众多的帖子和博文中,我们找到了这篇谷歌官方广告联盟(GoogleAdSense)帮助论坛的帖子,帖子中有超过150条信息,记录了重定向的特点和来源。这种恶意重定向甚至出现在了GoogleAdSense控制台的广告查看中心。这些问题从2014年12月下半旬开始持续了一个月,但真正开始大范围传播是从2015年1月9日。追踪恶意广告带有AdSense广告(非文字广告)的网站会随机地将访客定向到那些“揭开健康秘密”的假冒网站,如:皮肤保养、抗衰老、提高智力还有减肥产品等。这些假冒网站会伪装成非常知名的(通常是虚构的)博客和杂志,例如:《福布斯》、《时尚好管家》、《医生》、《妈咪健康报》等。他们看起来像是有明星做广告的,把重大科学研究成果作为头条的杂志,还有很多水军评论称这些产品很有效。所有的这些假网站都是在lemode-mgz.comconsumernews247.comwan-tracker.com的不同子域名下。所有的链接都会指向track.securevoluum.com/click,但是如果你直接访问这些网站,就什么也看不见,只有空白页。域名都是大概一个月前注册的:lemode-mgz .com — 创建于2014-12-14
securevoluum .com — 创建于2014-12-15
wan-tracker .com — 创建于2014-12-14
consumernews247 .com — 创建于2013-09-02 更新于2014-12-24 
track .securevoluum .com是hfrov .voluumtrk .com的别名,而voluumtrk.com创建于2014-08-06.这些网站的whois信息都是被保护的,域名都托管在亚马逊的EC2和S3。查找源头Google没有及时解决问题,站长们坐不住了,他们开始联合起来试图解决问题。解决问题的过程中,他们发现GoogleAdSense官网“广告查看中心”同样存在重定向现象。如视频所示,站长们在广告查看中心看到恶意广告时,会被重定向。一位论坛用户提供的跳转视频土豆观看如果站长点击浏览器中的“后退”按钮,他们就会返回到含有恶意广告的页面。但他们手速得要足够快,才能够在再次被重定向之前截好图。仅仅对含有恶意广告的网页进行截图是不够的,因为那个网页还是会包含很多来自不同广告商的广告。所以下一步就是要对图片进行裁剪,把单个的广告截下来交给广告查看中心过滤筛选(和Google图片搜索很类似,它通过你提供的照片寻找那些广告)。如果筛选出的广告发生了重定向跳转,那这个广告就应该是恶意广告了。确定劫持方式通过这样的方式,站长们最终找到了这些了恶意广告。
匿名广告商adv-2646721236434373,广告会重定向到adwynn.com。还有BlackburnART,其广告指向rgeoffreyblackburn.com这两个账号都使用正规的AdWords账号,广告看起来也挺正常。我认为是骗子通过什么方法劫持了它们——可能是窃取到了他们的用户名密码。另一种可能是,骗子们自己创建了这些账号并伪装成正规网站。为了调查事情真相,我尝试给adwynn.com域名的持有者发了邮件,但他们没有回复我。直到1月13日,我发现Google还是没有屏蔽这两个账号,但他们的广告不再重定向了,应该能够间接证明这两个账号都是正常账号。

恶意重定向代码有人做了深度调查,查明了恶意广告重定向的工作原理:我觉得我找到了重定向链接的源代码。我查看了adwynne.com广告的代码。这是广告里的脚本元素:<script src="hxxps://adwynne728us. wan-tracker .com/track-imp/g/bs01/adwynne728us/track.php?it=1420998670014&refurl=https%3A%2F%2Fwww.google.com%2Fadsense%2Fapp%3Fhl%3Den%26subid%3D...skipped...">

这段脚本会加载adwynne728us.wan-tracker.com的链接,链接的内容是:

function trackImp() { window.top.location.href = 'hxxp://track .securevoluum .com/421c6fa2-56dc-4806-b48a-6b536e9f021f?account=adwynne&campaign=us&adgroup=1&banner=728-90&it=1420998670014&refurl=https%3A%2F%2Fwww.google.com%2Fadsense%2Fapp%3Fhl%3Den%26subid%3D....skipped...'; } trackImp();

这个trackImp()函数会加载一个track.securevolumm.com的链接,又会重定向至此:

hxxp://lemode-mgz .com/sc/10056/special-report.html?voluumdata=vid..00000006-a37f-49df-8000-000000000000__vpid..4728a800-99b3-11e4-8482-3005c6fcc558__caid..421c6fa2-56dc-4806-b48a-6b536e9f021f__lid...skipped...Google为什么默许恶意代码?我很好奇Google为什么默许这些广告商使用恶意代码,例如未授权的重定向。而事实上这些广告在Google审核阶段不会有任何的恶意行为,但是一旦通过就开始行为不端了。我认为无论如何,应该要对这些第三方脚本进行控制。脚本可以和浏览器exploit配合起来攻击访客。如果Google不对这些广告中的脚本加以控制,AdSense可能最终会变成最大的恶意广告平台。这些恶意广告还可以被用来攻击那些已经登陆的GoogleAdsense用户。黑客可以尝试构造CSRF和XSS攻击,攻击那些登录Google账户的用户。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: