3ve网络虚假广告攻击事件分析教学文档

1. 事件概述

3ve是一个大规模的网络广告欺诈团体，其活动涉及全球范围。2018年10月22日，国际执法机构联合行动针对该团体进行了打击，并于11月27日公布了8名被告的13项起诉书。

2. 广告欺诈机制

2.1 基本欺诈方式

广告欺诈主要通过两种方式实现：

1. 自动化软件模拟用户行为：使系统看起来像真实用户在点击链接或查看在线广告
2. Stantinko策略：监听用户点击并将页面重定向到欺诈广告

2.2 绕过防御的关键

伪造的请求来自大量拥有合法IP地址的用户，这使得欺诈行为能够绕过现有的欺诈防御措施。

3. 使用的僵尸网络

3ve主要依赖两个僵尸网络来获取合法IP地址：

3.1 Boaxxe僵尸网络

3.1.1 基本功能

• 也称为Miuref
• 将用户流量重新路由到其控制的链接
• 通过浏览器扩展或嵌入模式的IE实现重定向

3.1.2 代理功能

1. 从C&C服务器接收RC4加密的DNS或HTTP请求
2. 解密并执行请求
3. 将结果发送回C&C服务器

3.1.3 典型请求示例

GET /banners/ajtg.js HTTP/1.1
Host: img.1rx.io
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36
Accept: */*
Referer: http://eatingwell.com/recipes/17986/side-dishes/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8

3.1.4 攻击特点

• 主要针对美国IP地址
• 自2016年初开始活跃

3.2 Kovter僵尸网络

3.2.1 演变历史

• 最初是勒索软件(2014年)
• 后来发展为广告诈骗工具
• 增加了强大的欺骗和隐身技术

3.2.2 欺骗技术

• 检测网络监视器存在时发送虚假流量
• 检测到Windows任务管理器时终止自身进程
• 使用"无文件"持久性技术(加密有效负载存储在注册表中)

3.2.3 隐蔽特性

• 仅在系统未被使用或显示器断电时执行操作
• 屏蔽广告的视觉效果和声音效果
• 使用隐藏的Chrome Embedded Framework浏览器执行任务

3.2.4 传播方式

• 垃圾邮件
• 偷渡式下载
• 按次付费计划

4. 僵尸网络技术细节

4.1 Kovter的C&C服务器架构

采用分层结构：

1. 一级C&C服务器：

   • 存储静态配置
   • 配置文件加密格式：

     <16 bytes reversed RC4 key>
     <base64–encoded, encrypted data>
     <16 bytes of padding>
     

   • 包含一级C&C服务器列表和RC4密钥

2. 二级C&C服务器：

   • 通过HTTP POST请求获取
   • 请求格式：

     RESP:BOT|c:IPS|vsn:1|<random hex string>
     

   • 随机十六进制字符串(32-128个字符)
   • 使用随机RC4密钥加密，再使用静态配置中的RC4密钥加密整个消息

4.2 已知C&C服务器示例

1st skimmer: bootstrap-js[.]com
2nd skimmer: g-statistic[.]com
1st skimmer's exfil domain: bootstrap-js[.]com
2nd skimmer's exfil domain: onlineclouds[.]cloud

5. 防御措施

5.1 检测与清除

• 使用ESET Online Scanner检测和删除Boaxxe和Kovter
• 定期扫描系统，特别是Windows系统

5.2 预防措施

1. 保持安全软件更新
2. 警惕可疑邮件和下载
3. 监控网络流量异常
4. 检查浏览器扩展的合法性

6. 事件响应与执法行动

• 执法部门获得了僵尸网络基础设施的技术数据
• 3ve运营商在行动后修改了C&C服务器行为(返回127.0.0.1作为二级C&C服务器)
• 推测可能是为了暂停僵尸网络并分析被打击原因

7. 扩展资源

• Google和White Ops的白皮书(提供更多3ve广告欺诈机制细节)
• US-CERT发布的警告(包含Boaxxe和Kovter交互细节)