3ve网络虚假广告攻击事件分析教学文档<\/h1>

1. 事件概述<\/h2>
3ve是一个大规模的网络广告欺诈团体，其活动涉及全球范围。2018年10月22日，国际执法机构联合行动针对该团体进行了打击，并于11月27日公布了8名被告的13项起诉书。<\/p>

2. 广告欺诈机制<\/h2>

2.1 基本欺诈方式<\/h3>

广告欺诈主要通过两种方式实现：<\/p>

自动化软件模拟用户行为<\/strong>：使系统看起来像真实用户在点击链接或查看在线广告<\/li>

Stantinko策略<\/strong>：监听用户点击并将页面重定向到欺诈广告<\/li> <\/ol>
2.2 绕过防御的关键<\/h3>
伪造的请求来自大量拥有合法IP地址的用户，这使得欺诈行为能够绕过现有的欺诈防御措施。<\/p>
3. 使用的僵尸网络<\/h2>
3ve主要依赖两个僵尸网络来获取合法IP地址：<\/p>
3.1 Boaxxe僵尸网络<\/h3>
3.1.1 基本功能<\/h4>

也称为Miuref<\/li>
将用户流量重新路由到其控制的链接<\/li>
通过浏览器扩展或嵌入模式的IE实现重定向<\/li> <\/ul>
3.1.2 代理功能<\/h4>

从C&C服务器接收RC4加密的DNS或HTTP请求<\/li>
解密并执行请求<\/li>
将结果发送回C&C服务器<\/li> <\/ol>
3.1.3 典型请求示例<\/h4>
GET<\/span> \/banners\/ajtg.js HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> img.1rx.io<\/span> <\/span><\/span>Connection:<\/span> keep-alive<\/span> <\/span><\/span>User-Agent:<\/span> Mozilla\/5.0 (Windows NT 10.0; WOW64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/58.0.3029.110 Safari\/537.36<\/span> <\/span><\/span>Accept:<\/span> *\/*<\/span> <\/span><\/span>Referer:<\/span> http:\/\/eatingwell.com\/recipes\/17986\/side-dishes\/<\/span> <\/span><\/span>Accept-Encoding:<\/span> gzip, deflate, sdch<\/span> <\/span><\/span>Accept-Language:<\/span> en-US,en;q=0.8<\/span> <\/span><\/span><\/code><\/pre>3.1.4 攻击特点<\/h4> 主要针对美国IP地址<\/li> 自2016年初开始活跃<\/li> <\/ul> 3.2 Kovter僵尸网络<\/h3> 3.2.1 演变历史<\/h4> 最初是勒索软件(2014年)<\/li> 后来发展为广告诈骗工具<\/li> 增加了强大的欺骗和隐身技术<\/li> <\/ul> 3.2.2 欺骗技术<\/h4> 检测网络监视器存在时发送虚假流量<\/li> 检测到Windows任务管理器时终止自身进程<\/li> 使用"无文件"持久性技术(加密有效负载存储在注册表中)<\/li> <\/ul> 3.2.3 隐蔽特性<\/h4> 仅在系统未被使用或显示器断电时执行操作<\/li> 屏蔽广告的视觉效果和声音效果<\/li> 使用隐藏的Chrome Embedded Framework浏览器执行任务<\/li> <\/ul> 3.2.4 传播方式<\/h4> 垃圾邮件<\/li> 偷渡式下载<\/li> 按次付费计划<\/li> <\/ul> 4. 僵尸网络技术细节<\/h2> 4.1 Kovter的C&C服务器架构<\/h3> 采用分层结构：<\/p> 一级C&C服务器<\/strong>：<\/p> 存储静态配置<\/li> 配置文件加密格式： <16 bytes reversed RC4 key> <base64–encoded, encrypted data> <16 bytes of padding> <\/code><\/pre> <\/li> 包含一级C&C服务器列表和RC4密钥<\/li> <\/ul> <\/li> 二级C&C服务器<\/strong>：<\/p> 通过HTTP POST请求获取<\/li> 请求格式： RESP:BOT|c:IPS|vsn:1|<random hex string> <\/code><\/pre> <\/li> 随机十六进制字符串(32-128个字符)<\/li> 使用随机RC4密钥加密，再使用静态配置中的RC4密钥加密整个消息<\/li> <\/ul> <\/li> <\/ol> 4.2 已知C&C服务器示例<\/h3> 1st skimmer: bootstrap-js[.]com 2nd skimmer: g-statistic[.]com 1st skimmer's exfil domain: bootstrap-js[.]com 2nd skimmer's exfil domain: onlineclouds[.]cloud <\/code><\/pre> 5. 防御措施<\/h2> 5.1 检测与清除<\/h3> 使用ESET Online Scanner检测和删除Boaxxe和Kovter<\/li> 定期扫描系统，特别是Windows系统<\/li> <\/ul> 5.2 预防措施<\/h3> 保持安全软件更新<\/li> 警惕可疑邮件和下载<\/li> 监控网络流量异常<\/li> 检查浏览器扩展的合法性<\/li> <\/ol> 6. 事件响应与执法行动<\/h2> 执法部门获得了僵尸网络基础设施的技术数据<\/li> 3ve运营商在行动后修改了C&C服务器行为(返回127.0.0.1作为二级C&C服务器)<\/li> 推测可能是为了暂停僵尸网络并分析被打击原因<\/li> <\/ul> 7. 扩展资源<\/h2> Google和White Ops的白皮书(提供更多3ve广告欺诈机制细节)<\/li> US-CERT发布的警告(包含Boaxxe和Kovter交互细节)<\/li> <\/ul>

3ve网络虚假广告攻击事件分析教学文档<\/h1>

1. 事件概述<\/h2> 3ve是一个大规模的网络广告欺诈团体，其活动涉及全球范围。2018年10月22日，国际执法机构联合行动针对该团体进行了打击，并于11月27日公布了8名被告的13项起诉书。<\/p>

2. 广告欺诈机制<\/h2>

2.2 绕过防御的关键<\/h3> 伪造的请求来自大量拥有合法IP地址的用户，这使得欺诈行为能够绕过现有的欺诈防御措施。<\/p>

3. 使用的僵尸网络<\/h2> 3ve主要依赖两个僵尸网络来获取合法IP地址：<\/p>

3.1 Boaxxe僵尸网络<\/h3>

3.2 Kovter僵尸网络<\/h3>

4. 僵尸网络技术细节<\/h2>

5. 防御措施<\/h2>

7. 扩展资源<\/h2> Google和White Ops的白皮书(提供更多3ve广告欺诈机制细节)<\/li> US-CERT发布的警告(包含Boaxxe和Kovter交互细节)<\/li> <\/ul>

1. 事件概述<\/h2>
3ve是一个大规模的网络广告欺诈团体，其活动涉及全球范围。2018年10月22日，国际执法机构联合行动针对该团体进行了打击，并于11月27日公布了8名被告的13项起诉书。<\/p>

2.2 绕过防御的关键<\/h3>
伪造的请求来自大量拥有合法IP地址的用户，这使得欺诈行为能够绕过现有的欺诈防御措施。<\/p>

3. 使用的僵尸网络<\/h2>
3ve主要依赖两个僵尸网络来获取合法IP地址：<\/p>

7. 扩展资源<\/h2>

Google和White Ops的白皮书(提供更多3ve广告欺诈机制细节)<\/li>
US-CERT发布的警告(包含Boaxxe和Kovter交互细节)<\/li> <\/ul>