T1583.008: Вредоносная реклама

Злоумышленники могут покупать онлайн-рекламу для распространения вредоносного ПО среди жертв. Они могут покупать рекламу, чтобы размещать артефакты в определенных местах в интернете, например на видных позициях в результатах поисковых систем. Пользователям может быть трудно отличить фактические результаты поиска от рекламных объявлений. Возможности рекламной сети позволяют нацелить купленные объявления на конкретную аудиторию и воспользоваться доверием пользователей к поисковым системам и популярным веб-сайтам.

Злоумышленники могут покупать рекламу и другие ресурсы для распространения артефактов с вредоносным кодом. Купленная реклама может публиковаться от лица известных брендов или имитировать их. Например, поддельная реклама может побудить жертву перейти по ссылке, которая перенаправляет на вредоносный домен, похожий на официальный сайт и содержащий троянизированные версии рекламируемого программного обеспечения. Злоумышленники могут автоматизировать создание вредоносных доменов и покупку рекламы для них, чтобы усложнить их обнаружение и удаление.

Вредоносная реклама может применяться для подготовки теневой (drive-by) среды и реализации теневой (drive-by) компрометации, при этом, если реклама содержит код/эксплойты, внедряемые в веб-браузер целевой системы, для достижения целей злоумышленников может требоваться некоторое минимальное взаимодействие пользователя с ней.

Злоумышленники могут применять различные методы, чтобы избежать обнаружения рекламной сетью. Например, переходы по ссылкам в рекламных объявлениях могут динамически маршрутизироваться, чтобы направлять поисковые роботы и инструменты соблюдения политик на безопасные сайты, а реально интересующие злоумышленников жертвы — на вредоносные. Как следствие, этот вектор заражения может оставаться скрытым от рекламной сети и посетителей, не имеющих действительного идентификатора, получаемого при клике на рекламное объявление, и, как следствие, не попадающих на вредоносный сайт. Могут использоваться и другие приемы обхода автоматического обнаружения, такие как намеренные опечатки в названиях для обхода мониторинга репутации бренда.

Способы обнаружения

IDDS0035Источник и компонент данныхСкан интернета: Содержимое ответаОписание

Если ранее были выявлены инфраструктура или шаблоны вредоносного веб-содержимого, связанные с вредоносной рекламой, интернет-сканирование может помочь определить, когда злоумышленник разместил вредоносный контент. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на других этапах деятельности злоумышленников, например теневой (drive-by) компрометации или эксплуатации уязвимостей в клиентском ПО.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть сосредоточены на действиях, связанных с первоначальным доступом, таких как компрометация, когда блокировщики рекламы могут помочь предотвратить выполнение вредоносного кода.