揭秘VexTrio恶意广告网络背后的技术基础设施

本文深入分析了VexTrio恶意广告网络的技术架构,详细揭露其使用的流量分发系统、Binom追踪器、IMKLO伪装技术以及基于Cloudflare和Akamai的内容分发网络,揭示了该犯罪组织如何利用自动化工具支撑日均数十亿次恶意流量分发的技术细节。

揭秘VexTrio恶意广告网络背后的技术基础设施

基础设施架构

为了运营可靠的流量分发系统(TDS),基础设施必须灵活且能够随时迁移。VexTrio的TDS大部分隐藏在Cloudflare和透明代理之后,通过被动DNS记录分析,我们发现了其核心基础设施。

通过分析AS5398和AS203639的BGP通告,我们发现了多个IP前缀和大量被动DNS记录,揭示了VexTrio的基础设施运营情况。该全球运营仅使用几百个虚拟机,分布在单个数据中心和少数托管提供商之间。

DevOps技术栈

为了支撑日均数十亿次交易的TDS,自动化是必须的。DNS主机名显示VexTrio使用了Hashi Corp软件(Terraform、Consul和Vault)、Kubernetes、Proxmox、Gitlab和Argo等流行自动化工具。结合nginx、HAProxy、邮件炮和CDN等技术,分布在数据中心、Hetzner、AlexHost和Cloudflare上,构成了弹性TDS。

VexTrio还使用PowerDNS这一先进的开源DNS软件,支持权威和递归DNS,以及负载均衡和地理限制解析,能够处理快速的区域变更。

Binom追踪系统

Binom是VexTrio广泛使用的自托管追踪器,由俄罗斯联盟营销专业人士团队开发。该系统在毫秒级将用户操作和事件写入数据库,具有内置去重逻辑,防止重复计数。

实际案例显示,当用户点击推送通知后,流量经过RollerAds TDS传递到VexTrio的Binom服务器(hktrk[.]com),最终导向恐吓软件诈骗页面。Binom根据用户年龄组、浏览器类型等特征进行规则化路由,既作为追踪器也作为伪装器和TDS使用。

伪装能力

除了使用追踪器进行伪装外,VexTrio还使用专用伪装软件,特别是在社交媒体活动中主要使用IMKLO。该软件由Dmitri Jesipow领导的IM GROUP开发,专门帮助恶意广告逃避安全检测。

网络关键节点

VexTrio的CDN域名对其运营至关重要。例如imghst-de[.]com使用Cloudflare CDN并可能采用Pro计划,提供WAF、高级机器人流量过滤等安全功能。该域名在全球网站流量排名中进入前10,000名,比openvpn[.]com更受欢迎。

另一个大型约会诈骗活动依赖八个CDN域名提供关键资源,这些域名指向Akamai的边缘主机名,确保快速向受害者分发诈骗内容。尽管这些CDN已使用多年,但在VirusTotal等威胁情报平台中几乎未被检测到。

技术指标

  • 使用2个专用IP地址运行Binom追踪服务器(OVHcloud)
  • 78个唯一域名配置在Binom服务器上
  • 55个登陆页面域名分布在Hetzner和Petersburg Internet Network Ltd
  • CDN域名包括imghst-de[.]com、dt-assets[.]com等,主要注册在Amazon
  • 基础设施采用Cloudflare、Akamai等主流CDN服务

这一技术分析不仅揭示了VexTrio的运作方式,也为研究其他恶意广告技术网络提供了方法论参考。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次