Kako izgleda distribucija web malvera

Jedan od popularnih kanala distribucije malvera je TDS, odnosno sistem za distribuciju saobraćaja.

Kako izgleda distribucija web malvera

Hiljade novih malvera i malicioznih URL-ova otkrije se svakog dana. Toliko veliki broj novih malvera moguć je zahvaljujući alatima za eksploataciju koji mogu da se kupe na Dark Webu, pomoću kojih svako ko poželi može da bude "haker".

Nakon što kupe malware toolkit i naprave svoj malver, da bi postigli svoj cilj, sajber kriminalci moraju i da distribuiraju malver do žrtava. Postoji više načina za distrubuciju malvera, a mi ćemo se u ovom tekstu baviti TDS-om, odnosno sistemom za (re)distribuciju saobraćaja.

Šta je TDS i kako funkcioniše?

Ukratko rečeno, TDS vendor kupuje i prodaje web saobraćaj. Iako ovaj koncept postoji odavno, poslednjih godina je postao jako popularan u aktivnostima eksploatacija. Recimo da imate sajt i da želite da ostvarite zaradu od sajta. Jedan od načina za zaradu je da imate različite interesantne i kontekstualne linkove. Kada posetilac klikne na neki od tih linkova, biva preusmeren na TDS vendora. U suštini, vi prodajete klik tom TDS vendoru koji dalje prodaje klik ili saobraćaj onom ko ponudi najviše.

Kako se zloupotrebljava TDS?

Tehnički, svako može da kupi saobraćaj od TDS vendora. Nekad postoje sekundarni i tercijarni vendori koji kupuju i preprodaju saobraćaj.

Umesto da pokuša da inficira sajt malverom ili da kupi ukradene kredencijale, napadač jednostavno kupi klikove ili saobraćaj od TDS vendora. Dokle god je stopa konverzije dobra i dokle god napadač zarađuje više nego što troši na kupovinu saobraćaja, operacija je profitabilna.

Napadači takođe kupuju oglasni prostor od popularnih mreža za oglašavanje. Click-through URL-ovi ovih oglasa ukazuju na TDS vendore. Ovde postoji prilika za arbitražu (kupi jeftino – prodaj skupo). Ukoliko korisnik može jeftino da kupi oglasni prostor i da ga preproda TDS vendorima po nešto višoj ceni, to garantuje profit. Neki sajtovi, poput pornografskih ili lažnih pretraživača su takođe poznati po tome da su direktno povezani sa TDS vendorima.

URL-ovi pokazuju ka TDS vendoru

Slika 1. URL-ovi pokazuju kako se saobraćaj sa popularnih oglasnih mreža preusmerava ka TDS vendoru.

U najvećem broju slučajeva, saobraćaj se završava na sajtovima koji se bave pornografijom, gejmingom, oglašavanjem ili anketama. Međutim, napadači takođe kupuju saobraćaj od TDS vendora i preusmeravaju korisnike na maliciozne sajtove koji sadrže alate za eksploataciju. U ovim slučajevima, saobraćaj se završava na sajtu koji sadrži malver koji se koristi u drive-by-download napadu. Ovo je za napadača lagan posao. Ne mora da se bavi hakovanjem niti da kupuje hakovane servere. Sve što je potrebno je da pronađe TDS vendora i da kupi saobraćaj ka malicioznom sajtu. TDS vendor garantuje stabilan protok saobraćaja ka malicioznom sajtu. Svako može da postane TDS vendor kupovinom i instaliranjem TDS softverskog paketa na web server (u pitanju su skripte koje se lako instaliraju).

Kategorije saobraćaja koje se mogu kupiti i prodati

Slika 2. Kategorije saobraćaja koje se mogu kupiti i prodati na sajtu za razmenu saobraćaja

Postoje mnogi TDS softverski paketi koji se mogu kupiti i koji nude razne opcije. Neki od njih su Sutra TDS i TS, Kalisto TDS i Simple TDS. Paket TDS Sutra sadrži brojne opcije poput distribucije saobraćaja ciljanih URL-ova i preusmeravanja baziranih na geografiji, proxyju, ključnim rečima i detaljnoj statistici dolaznih URL-ova. Takođe, postoji i opcija pod imenom “UPTIME_BOT” koja je modul za praćenje da li je ciljani URL aktivan i da li stranica (ne)sadrži maliciozni kod.

Izgled Sutra 3.4 menadžera

Slika 3. Izgled Sutra 3.4 menadžera saobraćaja

TS paket (u pitanju je ista kompanija koja pravi Sutra TDS i TS) je menadžment platforma za upravljanje razmenom saobraćaja i opisuju je kao univerzalni sistem za kupovinu, prodaju i distribuciju mrežnog saobraćaja. Za razliku od TDS paketa, ovaj TS paket omogućava vendoru da kupuje i prodaje sabraćaj u više entiteta i da upravlja celokupnim sistemom razmene saobraćaja. Sadrži i puno opcija poput antibot detekcije, web plaćanja, podrške za klasifikovanje različitih vrsta saobraćaja za kupce, statističko izveštavanje itd.

Mnogo sitnih, pojedinačnih korisnika kupuje i instalira ove TDS pakete i tako postaju TDS vendori. Nisu svi TDS vendori pod kontrolom napadača niti svi prodaju saobraćaj ka malicioznim sajtovima. Postoje i legitimni TDS vendori.

Kako izgleda proces kompromitovanja računara?

Da podvučemo crtu – evo kako izgleda proces kompromitovanja računara:

  1. Korisnik poseti legitimni sajt.
  2. Na sajtu se prikaže oglas nekog od oglašivača.
  3. Korisnik klikne na oglas i biva preusmeren na TDS.
  4. TDS preusmerava korisnika na krajnji URL. U većini slučajeva u pitanju je legitimni sajt koji je kupio klikove (saobraćaj). U slučajevima o kojima u ovom tekstu govorimo, taj krajnji URL je sajt koji sadrži drive-by-download eksploatacije.
  5. Računar je kompromitovan usled drive-by-download eksploatacija.

Proces kompromitovanja računara korisnika

Slika 4. Proces kompromitovanja računara korisnika

Korišćenje TDS vendora za distribuciju malvera nije novi fenomen. Ova tehnika najčešće se koristi za ubacivanje malvera preko drive-by-download eksploatacija. Korišćenje mreža za oglašavanje u ovom lancu prevare se takođe sve više koristi i stoga legitimne kompanije za oglašavanje moraju da naprave bolji sistem za zaštitu svojih kupaca.

Svim korisnicima se savetuje da uvek imaju ažurnu verziju AV softvera i da ne klikću na linkove koji deluju sumnjivo.

Izvor: Symantec Connect