Рекламируемые drive-by загрузки

Некоторое время назад наши системы мониторинга обнаружили признаки drive-by загрузок эксплойтов на группе схожих сайтов, при этом в кодах этих сайтов не наблюдалось ничего вредоносного. Мы решили изучить эти сайты более внимательно.

На первый взгляд, общим у всех замеченных в подозрительной активности сайтов было только одно — все они относились к категории «сайтов для взрослых» (далее — порносайты). Код сайтов действительно оказался чистым, соответственно, мы пришли к выводу, что источник заражения находится где-то еще и стали изучать внешние ссылки. Порносайты обычно используют кучу внешней рекламы, перекрестных ссылок и т.д., и разбирать все это довольно хлопотно (не говоря уж о том, что приходится повидать в процессе изучения). К счастью, выяснилось, что все исследуемые площадки используют код одной и той же баннерной сети, который выглядит вот так:

По указанному URL загружается стандартный код для вставки SWF в HTML, в котором подозрение может вызвать только адрес SWF-файла (он подгружается с отдельного сайта). Баннеры соответствуют специфике сайтов и рекламируют разного рода сопутствующие товары и услуги. Нам встретились разные варианты баннеров, например:

Клик по баннеру приводит к открытию сайта рекламодателя, никакие эксплойты грузиться не начинают (проверка рекламируемых товаров и услуг на соответствие ожиданиям пользователя выходит за рамки данного исследования).

Единственная странность, которая бросается в глаза, это то, что, после загрузки баннера зачем-то отправляется запрос на сервер, с которого был загружен SWF. Выглядит запрос так (большинство стандартных заголовков удалено):

После анализа кода SWF файла стало ясно, что баннер ожидает передачи ему URL, из которого затем будет сформирован iframe:

Сервер долгое время присылал в ответ на запросы унылое {«counted»:false}. Однако после усиленного натиска в ответ на очередной запрос сервер подтвердил, что может возвращать ссылки. Изначально они приходили в открытом виде (ответ сервера выглядел как {«iframe»:true,»url»:»http://… }, затем ссылки стали шифровать ({«hit»:true,»data»:»Yvzcjqze5dQ…»}), а баннеры заменили на новые, с кодом расшифровки (обратную совместимость оставили):

Во всех случаях URL, возвращаемый сервером, вел на различные эсплойт-паки, и открытие его в iframe могло привести к загрузке вредоносного ПО. Эксплойты использовались старые, с различной полезной нагрузкой.

Эта баннерная сеть оказалась довольно распространенной. Мы обнаружили более тысячи площадок, использующих данную рекламу (крупных сайтов среди них, к счастью, не оказалось), причем, трафик на них был, в основном, зарубежный, хотя сама ,баннерная сеть российская (мы обнаружили на тематических форумах объявления о выкупе рекламных мест и заказе флэш-баннеров от ее владельца).

 
Географическое распределение аудитории сайтов, использующих баннерную сеть

Второй интересный момент — собственно использование флэш-баннеров для осуществления drive-by загрузок. Способ, безусловно, не новый, но нечасто встречающийся, тем более в массовых атаках.

Мы полагаем, что вредоносной баннерной сети удалось проработать несколько месяцев, оставаясь незамеченной антивирусами. В пользу этого говорит тот факт, что на следующий же день после того, как мы обнаружили и задетектировали домены этой сети, их сервера вообще перестали отвечать на запросы. Спустя примерно неделю злоумышленники сделали попытку реанимировать сеть, обновив домены и коды, но, по нашим оценкам, детектирование доменов и баннеров (нами, и, возможно, другими вендорами) привело к уменьшению числа вебмастеров, использующих эту сеть.

«Лаборатория Касперского» блокирует все домены данной сети и детектирует вредоносные флэш-баннеры как Trojan-Downloader.SWF.Iframe.l.