恶意广告网络剖析:Vane Viper的技术架构与威胁传播

本文深入分析了Vane Viper恶意广告网络的技术架构,详细揭示了其如何利用流量分发系统、服务工作者脚本和推送通知等技术手段大规模传播恶意软件,并探讨了DNS数据在检测此类威胁中的关键作用。

执行摘要

人们通常认为数字地下世界——木马、恶意软件投放器、虚假交友网站、投资诈骗等——隐藏在互联网的黑暗角落。但这些威胁越来越多地隐藏在众目睽睽之下,被主流数字广告的光鲜外表所伪装。在某些情况下,广告技术平台被滥用,但我们发现越来越多的广告技术公司要么是同谋,要么积极参与恶意内容的传播。

通过广告技术运行恶意活动有一个秘诀,从合理的推诿开始。加入复杂的公司结构,搅拌不透明的所有权,你就获得了完美的不负责任盈利条件。这些因素不仅使滥用成为可能,而且使其可持续。

Vane Viper行动

Vane Viper这样一个行为体出现在我们大约一半的客户网络中,在过去一年中处理了约1万亿次DNS查询,使其成为我们观察到的最普遍威胁行为体之一。Vane Viper受益于全球数十万个被入侵的网站以及插入博客、游戏和购物网站的广告。

公司文件和WHOIS数据将Vane Viper追溯到AdTech Holding,一家塞浦路斯的控股公司。他们的旗舰子公司PropellerAds作为广告网络和流量经纪人,从多个渠道(包括被入侵的网站)获取流量,并通过其流量分发系统(TDS)将点击路由到恶意页面。

技术架构分析

流量分发系统(TDS)

Vane Viper使用其TDS以多种方式传递威胁:从发送到端点的推送通知,到受害者在网页浏览时可能遇到的被入侵或相似网站。TDS使威胁行为者能够向所需用户传递恶意内容,同时有意将自动化流量(包括安全研究人员使用的工具)引导至死胡同。

服务工作者和推送通知

Vane Viper使用服务工作者和脚本链来滥用推送通知。服务工作者是充当代理服务的JavaScript文件,拦截Web应用程序和网络之间的网络请求。服务工作者使用"eval()“执行从远程URL获取的任何内容是最令人担忧的,因为它允许从该URL检索的任何代码在页面上下文中运行。

这些推送通知如果被用户接受,将在端点上授予持久性。一旦接受,用户的设备就会变成恶意广告的旋转木马,启用持续的威胁流。

域名策略

在分析Vane Viper域名的生命周期时,大多数域名活跃时间不到一个月;然而,某些域名集已活跃1200天或更长时间。为了保持运营,Vane Viper需要每月注册大量新域名。数据显示,自2023年1月以来,每月注册域名数量不断增加,到2024年10月达到每月3500个域名的最大值。

通过每月循环使用数千个域名并保持关键推送通知域名活跃多年,Vane Viper展示了对清除的强大弹性和不断扩大的运营规模。

基础设施重叠

我们目前评估约有60,000个域名是Vane Viper基础设施的一部分。这些域名仅代表更广泛生态系统的一小部分。

PropellerAds使用XBT基础设施,该基础设施在主要虚假信息和欺诈案件中被引用。俄罗斯宣传网络Doppelgänger使用Webzilla作为托管提供商,URL Solutions作为域名注册商。Methbot广告欺诈审判中的法庭文件证实,“相当数量"的Methbot服务器位于XBT网络上。

攻击案例分析

在我们的研究中,我们遇到了一个恶意软件木马,它以恶意APK文件的形式从Vane Viper域名投放到Pixel手机上。该木马是Triada,从域名visionedmisfocusedpanfry[.]com投放。但当我们尝试在URLScan中访问该域名时,它显示为Google搜索的包装器。这就是TDS的部分力量:如果你不匹配"期望的受害者"配置文件,很难判断域名有任何问题。

我们还看到Vane Viper分发恶意浏览器扩展、虚假购物网站、成人内容、调查诈骗、虚假应用程序和可疑软件下载。

技术细节

在一个以可能的虚假软件下载结束的操作中(我们无法获取样本,但由于对重定向链中各个域名的分析,对我们的评估有信心),用户在被推送到所谓的Opera浏览器下载页面之前,被迫接受推送订阅门。

页面加载时,以下序列异步展开:

令牌生成和跟踪:用户登陆页面时,生成"OAID"令牌并发送到my[.]rtmark[.]net以获取"GID”(可能是全局标识符)。然后将此GID/OAID值标记到受害者的浏览器以实现指纹识别。

浏览器历史记录毒化:页面毒化浏览器历史记录并劫持后退按钮,阻止用户离开页面。

通知滥用:当通知权限请求被拒绝时,脚本强制随机单字母子域名重定向以躲避权限拒绝。

重定向:无论用户接受、拒绝还是忽略通知提示,脚本最终都会将他们重定向到动态选择的目标页面。

推送通知门后,TDS命令和控制(C2)服务器返回一个JSON文件,根据属性指导重定向的进一步行为,包括下一次重定向的主要URL、用户的唯一ID(oaid、ruid)和会话超时。

缓解措施

Vane Viper的操作建立在规模和规避基础上,并为他们和其他不良行为者运行恶意广告活动提供了机制。通过近60,000个已知唯一域名(大多数仅活跃数天或数周),他们利用推送通知持久性、动态隐身和脚本链大规模传递网络威胁。

对于企业、防御者和广大互联网用户来说,这种风险通过CDN级基础设施路由并通过点击接受传递。数字广告生态系统在设计上对用户不负责任。它被设计为快速、可扩展和盈利。Vane Viper揭示了将该生态系统武器化是多么容易。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次