广告屏蔽 恶意广告又找到了新的方法绕过广告屏蔽工具

广告拦截工具被称为我们对抗恶意广告活动的最后希望，但这最后一道保护屏障似乎已经崩塌。Malwarebytes最近发布了一份研究报告，详细介绍了一个恶意广告活动，可以成功绕过广告拦截工具，发送恶意有效负载。

这种恶意的广告活动被称为“粗暴”。据Malwarebytes的安全研究专家杰罗姆·塞古拉(Jérme Segura)透露的信息，尽管这一恶意广告活动是他在2017年3月才发现的，但有足够的证据表明，RoughTed已经上线一年多了。从攻击者的角度来看，这种恶意广告活动非常复杂，它使用各种黑客技术来掩盖自己的活动，所以我们直到现在才发现这种恶意广告活动。

“多样性”这个词是形容粗糙的最好方式。这场恶意广告活动背后的攻击者不仅可以提供来自许多不同来源的网络数据，还可以在恶意广告活动中添加各种用户指纹识别技术，并通过恶意广告活动传播不同的恶意有效载荷。

Adf.ly，Extra Torrent，Openloud都是在传播恶意广告

这种恶意广告活动可以在数百个网站上显示恶意内容，其中一些是小型个人网站，但许多AlexaTop 500网站也出现在我们的列表中。Malwarebytes表示，他们已经检测到了诸如Adf.ly、Extra Torrent()、Openloud和Ouo.io等热门网站上的垃圾邮件

根据Segura透露的信息，自从研究人员开始跟踪这场恶意广告活动以来，在过去的三个月里，对粗糙域名的访问已经累计超过10亿次。Segura还表示，他们在很多小网站的源代码中发现了攻击者注入的恶意广告代码，但目前还不清楚这些恶意代码是站长插入的，还是攻击者入侵网站后插入的。

RoughTed采用了一种非常激进的指纹收集策略

这种恶意广告活动会在目标用户浏览器的后台加载各种恶意脚本。这些恶意代码会重定向用户的访问链接，将用户重定向到各种URL，达到检测攻击者的目的。

Segura认为，这种咄咄逼人的用户指纹采集策略一般不会出现在恶意广告活动中，因为这种行为严重侵犯了用户的隐私权。粗略来说，攻击者想要检测的内容包括浏览器类型、操作系统版本、系统语言设置、地理位置信息等。Segura说，有些恶意脚本是攻击者精心设计的，当用户伪造自己的用户代理时，可以快速检测到这些脚本。这些脚本不仅使用了基于canvas的标准HTML5指纹识别技术，还使用了检测已安装字体列表等新技术。而且RoughTed可以根据目标用户的不同操作系统版本执行不同的恶意脚本。

广告拦截工具无法停止攻击

《乱世佳人》里有一个最有趣的剧本。该脚本可以检测用户是否正在使用广告拦截插件，如果是，它可以找到绕过该拦截系统的方法。例如，Adblock Plus、uBlock origin或AdGuard的用户最近报告说，恶意广告已经破解了他们的广告拦截工具，当广告拦截工具打开时，浏览器中不断显示恶意内容。

但Segura表示，具有这种能力的恶意广告活动不仅是粗暴的，很多其他恶意广告攻击者也会使用类似的绕过技术来绕过广告拦截工具。Malwarebytes专家表示，其他恶意活动也会使用类似的代码，但RoughTed的规模更大。

总结

在广告拦截工具的技术维护人员忙于对抗广告商和站长的同时，攻击者却在背后悄悄开发各种旁路工具。不过从目前的情况来看，RoughTed并不是一个普通的恶意广告活动。攻击者的目标是多样化的。RoughTed可能进行的恶意活动包括:

-传播利用工具；

-通过虚假的技术支持页面实施网络欺诈；

Mac端显示恶意广告(软件下载也是正面)；

-加载Chrome流氓插件；

-开展各种在线调查和数据收集活动；

关于这次恶意广告活动的IoC(入侵威胁指数)和其他技术细节，请参考Malwarebytes发布的这篇文章。

*参考资料来源:流血电脑，边肖阿尔法h4ck编译，请指出它是来自FreeBuf.COM