3ve-网络虚假广告攻击事件分析
字数 1245 2025-08-18 11:35:42

3ve网络虚假广告攻击事件分析教学文档

1. 事件概述

3ve是一个大规模的网络广告欺诈团体,其活动涉及全球范围。2018年10月22日,国际执法机构联合行动针对该团体进行了打击,并于11月27日公布了8名被告的13项起诉书。

2. 广告欺诈机制

2.1 基本欺诈方式

广告欺诈主要通过两种方式实现:

  1. 自动化软件模拟用户行为:使系统看起来像真实用户在点击链接或查看在线广告
  2. Stantinko策略:监听用户点击并将页面重定向到欺诈广告

2.2 绕过防御的关键

伪造的请求来自大量拥有合法IP地址的用户,这使得欺诈行为能够绕过现有的欺诈防御措施。

3. 使用的僵尸网络

3ve主要依赖两个僵尸网络来获取合法IP地址:

3.1 Boaxxe僵尸网络

3.1.1 基本功能

  • 也称为Miuref
  • 将用户流量重新路由到其控制的链接
  • 通过浏览器扩展或嵌入模式的IE实现重定向

3.1.2 代理功能

  1. 从C&C服务器接收RC4加密的DNS或HTTP请求
  2. 解密并执行请求
  3. 将结果发送回C&C服务器

3.1.3 典型请求示例

GET /banners/ajtg.js HTTP/1.1
Host: img.1rx.io
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36
Accept: */*
Referer: http://eatingwell.com/recipes/17986/side-dishes/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8

3.1.4 攻击特点

  • 主要针对美国IP地址
  • 自2016年初开始活跃

3.2 Kovter僵尸网络

3.2.1 演变历史

  • 最初是勒索软件(2014年)
  • 后来发展为广告诈骗工具
  • 增加了强大的欺骗和隐身技术

3.2.2 欺骗技术

  • 检测网络监视器存在时发送虚假流量
  • 检测到Windows任务管理器时终止自身进程
  • 使用"无文件"持久性技术(加密有效负载存储在注册表中)

3.2.3 隐蔽特性

  • 仅在系统未被使用或显示器断电时执行操作
  • 屏蔽广告的视觉效果和声音效果
  • 使用隐藏的Chrome Embedded Framework浏览器执行任务

3.2.4 传播方式

  • 垃圾邮件
  • 偷渡式下载
  • 按次付费计划

4. 僵尸网络技术细节

4.1 Kovter的C&C服务器架构

采用分层结构:

  1. 一级C&C服务器

    • 存储静态配置
    • 配置文件加密格式: 
      <16 bytes reversed RC4 key>
<base64–encoded, encrypted data>
<16 bytes of padding>
    • 包含一级C&C服务器列表和RC4密钥

  2. 二级C&C服务器

    • 通过HTTP POST请求获取
    • 请求格式: 
      RESP:BOT|c:IPS|vsn:1|<random hex string>
    • 随机十六进制字符串(32-128个字符)
    • 使用随机RC4密钥加密,再使用静态配置中的RC4密钥加密整个消息

4.2 已知C&C服务器示例

1st skimmer: bootstrap-js[.]com
2nd skimmer: g-statistic[.]com
1st skimmer's exfil domain: bootstrap-js[.]com
2nd skimmer's exfil domain: onlineclouds[.]cloud

5. 防御措施

5.1 检测与清除

  • 使用ESET Online Scanner检测和删除Boaxxe和Kovter
  • 定期扫描系统,特别是Windows系统

5.2 预防措施

  1. 保持安全软件更新
  2. 警惕可疑邮件和下载
  3. 监控网络流量异常
  4. 检查浏览器扩展的合法性

6. 事件响应与执法行动

  • 执法部门获得了僵尸网络基础设施的技术数据
  • 3ve运营商在行动后修改了C&C服务器行为(返回127.0.0.1作为二级C&C服务器)
  • 推测可能是为了暂停僵尸网络并分析被打击原因

7. 扩展资源

  • Google和White Ops的白皮书(提供更多3ve广告欺诈机制细节)
  • US-CERT发布的警告(包含Boaxxe和Kovter交互细节)
3ve网络虚假广告攻击事件分析教学文档 1. 事件概述 3ve是一个大规模的网络广告欺诈团体,其活动涉及全球范围。2018年10月22日,国际执法机构联合行动针对该团体进行了打击,并于11月27日公布了8名被告的13项起诉书。 2. 广告欺诈机制 2.1 基本欺诈方式 广告欺诈主要通过两种方式实现: 自动化软件模拟用户行为 :使系统看起来像真实用户在点击链接或查看在线广告 Stantinko策略 :监听用户点击并将页面重定向到欺诈广告 2.2 绕过防御的关键 伪造的请求来自大量拥有合法IP地址的用户,这使得欺诈行为能够绕过现有的欺诈防御措施。 3. 使用的僵尸网络 3ve主要依赖两个僵尸网络来获取合法IP地址: 3.1 Boaxxe僵尸网络 3.1.1 基本功能 也称为Miuref 将用户流量重新路由到其控制的链接 通过浏览器扩展或嵌入模式的IE实现重定向 3.1.2 代理功能 从C&C服务器接收RC4加密的DNS或HTTP请求 解密并执行请求 将结果发送回C&C服务器 3.1.3 典型请求示例 3.1.4 攻击特点 主要针对美国IP地址 自2016年初开始活跃 3.2 Kovter僵尸网络 3.2.1 演变历史 最初是勒索软件(2014年) 后来发展为广告诈骗工具 增加了强大的欺骗和隐身技术 3.2.2 欺骗技术 检测网络监视器存在时发送虚假流量 检测到Windows任务管理器时终止自身进程 使用"无文件"持久性技术(加密有效负载存储在注册表中) 3.2.3 隐蔽特性 仅在系统未被使用或显示器断电时执行操作 屏蔽广告的视觉效果和声音效果 使用隐藏的Chrome Embedded Framework浏览器执行任务 3.2.4 传播方式 垃圾邮件 偷渡式下载 按次付费计划 4. 僵尸网络技术细节 4.1 Kovter的C&C服务器架构 采用分层结构: 一级C&C服务器 : 存储静态配置 配置文件加密格式: 包含一级C&C服务器列表和RC4密钥 二级C&C服务器 : 通过HTTP POST请求获取 请求格式: 随机十六进制字符串(32-128个字符) 使用随机RC4密钥加密,再使用静态配置中的RC4密钥加密整个消息 4.2 已知C&C服务器示例 5. 防御措施 5.1 检测与清除 使用ESET Online Scanner检测和删除Boaxxe和Kovter 定期扫描系统,特别是Windows系统 5.2 预防措施 保持安全软件更新 警惕可疑邮件和下载 监控网络流量异常 检查浏览器扩展的合法性 6. 事件响应与执法行动 执法部门获得了僵尸网络基础设施的技术数据 3ve运营商在行动后修改了C&C服务器行为(返回127.0.0.1作为二级C&C服务器) 推测可能是为了暂停僵尸网络并分析被打击原因 7. 扩展资源 Google和White Ops的白皮书(提供更多3ve广告欺诈机制细节) US-CERT发布的警告(包含Boaxxe和Kovter交互细节)