揭秘VexTrio恶意广告网络背后的技术架构
基础设施分析
VexTrio运营着一个可靠的流量分发系统(TDS),其基础设施具备高度灵活性和即时迁移能力。通过分析被动DNS记录,研究人员发现了VexTrio的主要商业实体和支撑其运营的技术栈。
网络架构发现
- 使用DNS记录关联域名并分析其用途
- 通过BGP通告分析发现AS203639和AS5398等多个前缀
- 核心基础设施主要托管在Cloudflare,阻碍关联域名分析
DevOps技术栈
为处理每日数十亿次交易,VexTrio采用了完整的自动化工具链:
核心技术组件
- 自动化工具:HashiCorp套件(Terraform、Consul、Vault)、Kubernetes、Proxmox、Gitlab、Argo
- 网络服务:nginx、HAProxy、邮件群发工具
- DNS管理:PowerDNS开源DNS软件,支持权威和递归DNS、负载均衡和地域限制解析
- 托管提供商:数据中心、Hetzner、AlexHost和Cloudflare
Binom追踪系统
追踪器功能
- 记录每次点击、展示和转化
- 提供实时广告活动统计界面
- 内置去重逻辑防止重复计数
- 支持基于规则的流量路由
实际应用案例
2024年秋季,研究人员通过受感染设备捕获推送通知流量:
- 点击通知跳转至RollerAds TDS(pr3tty-fly4[.]com)
- 捕获用户年龄组和浏览器信息
- 数据传递至Hey Kraken!的Binom服务器(hktrk[.]com)
- 根据用户特征提供定向恐吓软件诈骗
伪装能力
IMKLO伪装软件
- 专门用于社交媒体广告活动伪装
- 由Dmitri Jesipow领导的IM GROUP开发
- 配套工具包括IM Comments Cleaner、MaskFb和Keyof
- 帮助逃避安全检测和平台审核
网络关键节点
CDN基础设施
VexTrio依赖少数关键CDN域名支撑整个运营:
- imghst-de[.]com:使用Cloudflare CDN和专业计划
- Akamai边缘网络:通过数千个接入点实现快速内容分发
域名流行度分析
- imghst-de[.]com位列全球前10,000流行域名
- 流量规模超过openvpn[.]com等知名服务
- 在安全行业白名单中广泛存在,VirusTotal仅标记1次
技术规模统计
Binom服务器配置
- 2个专用IP地址位于OVHcloud
- 78个唯一域名配置在跟踪服务器上
- 55个着陆页域名托管在Hetzner和Petersburg Internet Network Ltd
CDN域名列表
| 域名 | 注册商 | 名称服务器 |
|---|---|---|
| imghst-de[.]com | NameCheap | Cloudflare |
| dt-assets[.]com | Amazon | Amazon |
| jmp-assets[.]com | Amazon | Amazon |
运营特点
VexTrio的基础设施表现出高度异构性,使用多样化的命名约定和网络服务提供商。这种设计天然阻碍安全社区的威胁分析和归因努力,但同时需要集中化管理来协调全球运营。
关键发现表明,如果少数核心CDN域名失效,VexTrio的大部分恶意活动将陷入瘫痪,这揭示了其基础设施的单点故障风险。