setodaNote

忘れる用のメモ書き

Master134:広告ネットワークを利用した大規模な悪意あるキャンペーン

Check Point の研究者が Master134 と呼ぶ大規模な悪意のあるキャンペーンについての調査レポートを出していた。
私にはちょっと難しかったので、以下を参考に読み解きながらまとめてみた。

www.bleepingcomputer.com

research.checkpoint.com

感染経路

0. 脆弱性を突かれてハッキングされた WordPress v.4.7.1 が多数存在
  ↓

1. ハッキングされたサイトが、
 ユーザをリモートサーバ(IPアドレス:134.249.116[.]78)上の
 JavaScript へとリダイレクトする
  ↓

2. IPアドレス 134.249.116[.]78 は、
 ユーザを Ad-Network が所有する広告ページにリダイレクトする
  ↓

3. Ad-Networkは、
 ユーザーを悪意あるサイトにリダイレクトする
  ↓

4. ユーザが、
 マルウェアに感染するなど被害に会う

チェックポイントの研究者は、 IPアドレス 134.249.116[.]78(以下、Master134 と呼ぶ)に属するサーバを所有する当事者が、 感染経路の窓口(漏斗)であるとしている。

また、感染経路の出発点はハッキングされた 1万を超える数の WordPress v.4.7.1(RCE の脆弱性を持つ) と PUP (Potentially Unwanted Program) だったとしている。

概要の図は元記事のものが一番わかり易い。

 

お金の流れ

最終的にトラフィックを受け取る攻撃者(Malvertisers)が Master134 に対価を支払い、Ad-Network には Master134 から支払いがされているのだろうと レポートには書かれていた。

f:id:soji256:20180806201632p:plain  

感想

広告ネットワークってユーザもリダイレクトされてしまうものなのか。

  • トラフィックの売買を広告ネットワークを介して成立させている
  • 既存の正規サイトのユーザを悪意あるサイトに誘導できる

分業するには良さそうな方法に思えた。
前にもトラフィックの売買というキーワードを聞いた気も。