Web malware: malvertisement

Většina malwaru je v dnešní době šířena přes web a vězte, že nakaženy mohou být i naprosto důvěryhodné weby.

Počet nakažených webů rok od roku roste. Není výjimkou, že na mnoha webech je zobrazován obsah až od několika desítek partnerů. Na těchto webech jsou také často zobrazovány widgety, aplikace a reklama třetích stran, které tvoří obsah samotného webu. V těchto widgetech, aplikacích nebo reklamě se však může nacházet i škodlivý kód, o čemž provozovatel daného webu zpravidla neví, a který je v okamžiku, kdy uživatel zavítá na daný web spuštěn a to bez jakékoliv interakce s uživatelem. Jedná se tedy o drive-by download malware.

Útočníci by sice mohli teoreticky napadnout nějaký hodně navštěvovaný web, ale vzhledem k jeho často velice dobrému zabezpečení není tato varianta možná, a proto na to jdou jinak. Vědí totiž, že jim stačí ukrýt škodlivý kód (malware) do na první pohled zcela neškodné reklamy (advertisement), kterou zpravidla bývá nějaká pěkná flashová animace nebo hra, kterou málokdo analyzuje, a kterou může být i problém otestovat, protože škodlivý kód se může spustit, až po splnění určitých podmínek.

Útočníci se proto vydávají za zadavatele reklamy (advertisers) nebo reklamní agenturu (advertising agencies). Právě proto se tomuto škodlivému kódu říká malicious advertisement (zkr. malvertisement) a této činnosti pak zcela logicky malvertising. Každému, kdo na takový web zavítá, se reklama, pokud ji nemá blokovanou, spustí. Pak už jen záleží na tom, zda škodlivý kód, který je v reklamě ukryt, dokáže zneužít zranitelnosti systému nebo aplikace, kterou uživatel používá.

malvertisement

Malwaru, který se spouští již při pouhé návštěvě stránky, se uživatel může jen velice obtížně bránit. Uživatel by se měl přesto snažit udržovat svůj operační systém a aplikace aktuální, především prohlížeč internetu včetně posledních patchů a pokud možno s minimem pluginů, neboť i ty mohou obsahovat zranitelnosti, kterých může být zneužito. Dále by měl používat nějaké antimalware řešení, protože ve většině případů útočník nevyužívá nějaké zcela nové zranitelnosti (zero day vulnerability), nýbrž zranitelností, které jsou známé již delší dobu.

Netřeba snad dodávat, že by uživatel měl na internet přistupovat pod účtem, který v systému disponuje pouze omezenými právy, a tím např. účet administrator v systému Windows opravdu není. Dalším zajímavým řešením, o kterém se moc často nemluví, je spouštění prohlížeče v sandboxu. Ano, ale kolik uživatelů se výše uvedenými doporučeními opravdu řídí?

Odpovědnost by měli nést nejen provozovatelé reklamní sítě, ale i reklamní agentury a ti, co reklamu na svých stránkách zobrazují, protože jejich dobré jméno bude v takovém případě poškozeno, nehledě na to, že se mohou dostat na blacklist, což má okamžitý dopad na návštěvnost a příjmy. Útočník také může hacknout počítač nebo server, na kterém je reklama uložena. Poté mu již stačí zaměnit schválenou reklamu za reklamu se škodlivým kódem a nikdo si zpravidla ničeho nevšimne.

OTA (Online Trust Alliance) proto doporučuje ve své příručce mimo jiné ověřovat i důvěryhodnost protistrany, která obsah poskytuje. V tom však obvykle problém nebývá, neboť spousta organizací spolupracuje s jednou či několika reklamními či mediálními agenturami, které zná, a se kterými má uzavřený kontrakt. Problém daleko spíš spočívá v tom, že tyto agentury obvykle nejsou příliš dobře zabezpečeny.

A není se čemu divit, oni v podstatě jen vytvářejí a dodávají z jejich pohledu neškodný multimediální obsah a jediné riziko, kterého se obávají, že by nemusely daný obsah svému klientovi dodat včas, takže většina z nich řeší jen dostupnost (rozuměj, zálohují jako diví) a jen část z nich řeší nějak důvěrnost (rozuměj, aby se reklama nezačala šířit dřív, než má začít daná kampaň oficiálně začít), ale kdo z nich řeší integritu a neodmítnutelnost?

A co vy? Už vám snad vaše agentura dodala reklamní klip s kontrolním součtem nebo podepsaný? Že ne? A co když ta úžasná flashová animace obsahuje škodlivý kód, který jen čeká na vhodnou příležitost a pak na pozadí dělá ještě něco jiného, přijdete na to vůbec?

Poznámka: Malvertisement se může klidně nacházet i na webech s EV certifikátem. Pro útočníka je obzvlášť lákavé na takový web škodlivý kód umístit, protože vzhledem k tomu, že přenos mezi serverem a klientem je šifrován, škodlivý obsah projde skrz případné zařízení zajišťující ochranu na perimetru až na koncové zařízení uživatele.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Web malware: malvertisement” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: