На конференции Black Hat 2013 специалисты по безопасности из компании WhiteHat Security продемонстрировали технику, как можно использовать баннерные сети для организации крупного ботнета.

В один-единственный баннер через iframe вставляется ссылка на JavaScript, после чего баннер заливается в баннерообменную или рекламную сеть — и загружается на сотни сайтов, имеющих большую аудиторию, рассказал основатель и технический директор компании WhiteHat Security Мэтт Йохансен (Matt Johansen).

Чтобы внедриться в баннерную сеть, скрипт изначально не делает ничего вредоносного. В своей демонстрации Йохансен разместил файл JavaScript на хостинге Amazon Web Services, после чего отправил баннер на регистрацию в баннерную сеть. Те не увидели ничего подозрительного и взяли баннер в ротацию. После этого владельцы хостинга AWS могут подменить JavaScript или модифицировать его, как они пожелают. Например, можно организовать DDoS-атаку на какой-нибудь сайт, прописав в скрипте установку максимального количества соединений по HTTP и FTP.

По словам Йохансена, это «очень, очень простой способ» DDoS-атаки, который не оставляет следов и не приведет к заказчику. Единственный способ определить заказчика — пойти в рекламную компанию и получить у них информацию, кто купил этот баннер. Но злоумышленники без труда могут провести оплату по чужой платежной карте, так что следов не останется вообще.

Во время демонстрации на Black Hat специалисты показали, как при открытии баннера браузер пользователя устанавливает 256 одновременных соединений с сервером Apache, с более чем миллионом соединений в час. Общая стоимость баннера в рекламной сети меньше, чем оплата инстанса Amazon: и то, и другое обойдется в пару десятков долларов.

В будущем исследователи хотят разработать скрипты, которые могли бы выполнять общую задачу в распределенном режиме на компьютерах пользователей: например, взламывать хэши MD5 с помощью программного обеспечения Ravan.

Исследователи отмечают, что простой способ защиты от такой атаки — плагины для блокировки рекламных баннеров в браузере.

Оставить мнение