如今安全研究人員已經證實,黑客可以利用廣告網絡創建短暫且難以跟蹤的僵屍網絡,隻要通過簡單的鼠標點擊,該僵屍網絡便可發起分佈式拒絕服務攻擊。
在本周三於拉斯維加斯舉行的黑帽大會上,來自白帽安全公司的一組研究人員在大會上做瞭發言並向參會人員展示瞭他們的技術,該技術通過使用網絡廣告的框架頁面調用一個JavaScript文件,同時該JS文件將通過請求的方式對網站發起攻擊。
白帽安全公司的安全威脅研究中心主管Matt Johansen表示,該漏洞“迫使JavaScript利用跨域請求,強行通過單個網絡瀏覽器或多個網絡瀏覽器的盡可能多的請求對單個網站發起攻擊。”
對此,該公司對一則即將運行於未命名廣告網絡平臺上的廣告上植入瞭JavaScript代碼,然後在Amazon Web Services服務器上存放核心JavaScript文件並將該段JavaScript代碼指向這臺服務器。而在部署廣告之後,他們還可以對存放在服務器上的核心JavaScript文件進行修改。
白帽安全公司稱,廣告網絡的確會對代碼進行核查,但很顯然他們無法看到任何惡意代碼,因此不會阻止這些代碼的運行。
Johansen表示,“我們的代碼中的確也有一些正常的JavaScript代碼,但如果對此保持高度警惕,你可能就會發現這些代碼看起來有點可疑。當然我們並不會踏入[廣告]色情網絡。”
這段被植入的演示代碼要求瀏覽器關閉最大限度的網絡並發連接數(例如Firefox的最大並發連接數為6)並通過HTTP協議訪問網站。此外,他們還展示瞭另外一種情形,即通過使用FTP請求格式,提高瀏覽器允許的並發連接數,而這將導致出現一個網絡瀏覽器可能通過並發連接對同一網站發起大量請求的風險。
通過這種方法,研究人員可以部署一個放上網頁便可自動運行的廣告,並迫使終端用戶瀏覽器根據白帽安全公司的控制對一個網站發起攻擊。
“那麼這種黑客攻擊方式有什麼好處嗎?為什麼不直接采用傳統的分佈式拒絕服務攻擊?”白帽安全公司的安全威脅研究中心總經理Matt Johansen如此問道,而後他對此回答說:“因為這種方式不留痕跡、無法追蹤。一旦JS代碼運行,你就根本無法找到它的蹤跡。這種方式可以說既簡單又實用。”
Johansen表示,他們認為唯一可以追蹤這段代碼的方法是返回廣告網絡平臺並獲取用於購買這段惡意廣告的信用卡信息。相信大傢都知道,對於黑客而言,通過非法匿名方式獲取信用卡信息並非難事。
在現場演示中,該公司的研究人員向單個Apache Web服務器添加瞭256個並發連接,並在一個小時之內追蹤到超過100萬次的連接。在成本方面,廣告的總成本要低於使用亞馬遜實例來支持JavaScript非法運行的成本,不過這兩者的成本均僅需要幾十美元。
白帽安全公司表示,接下來,他們計劃與其他廠商開展合作夥伴項目,共同部署一個旨在針對受分佈式拒絕服務保護的網站的可利用漏洞。此外他們還將計劃嘗試使用技術通過一個軟件工具(例如Ravan)來運行分佈式MD5哈希值的破解。此前,該研究團隊已經成功破解瞭谷歌的Chrome操作系統。
針對這種通過廣告入侵電腦的黑客方式,該公司的研究人員表示廣告攔截可謂解決這一問題的一個簡易方法。
Orignal From: 廣告網絡淪為僵屍網絡的JavaScript代碼
留言列表
