Sitios de representación de banners publicitarios Servir con contenido malicioso: ¿cómo responder?

1

Hemos recibido un correo electrónico aleatorio, que, por supuesto, por su aspecto podría ser un intento de mercadeo, sin embargo, siempre se necesita una verificación. El correo electrónico leyó lo siguiente:

  

Hemos identificado que el sitio web enlace se está publicando   contenido malicioso Se adjunta nuestro informe inicial. Por favor Usted puede   confirme la recepción de este correo electrónico respondiendo directamente al remitente.

     

Cuando encontramos sitios web comprometidos, si sentimos que está en el público   interés, informamos a los proveedores de motores de búsqueda, agencias de aplicación de la ley   y nuestros clientes del compromiso para permitirles hacer apropiado   pasos. En algunos casos, publicamos nuestros resultados dentro de un tiempo razonable.   para garantizar que el público en general esté al tanto de los riesgos que presenta el   compromiso.

     

Es posible que podamos proporcionar más información sobre el compromiso como y   cuando nuestra investigación lo identifica.

     

Ha recibido este correo electrónico porque notificamos a los sitios mediante un correo electrónico a   Direcciones de correo electrónico reconocidas por la industria para reportar sitios comprometidos.   Si tiene alguna pregunta, no dude en ponerse en contacto con nosotros en el   Dirección utilizada para enviar este correo electrónico.

Publique este correo electrónico, verificamos con nuestro servidor de anuncios que encontré e inspeccioné el dominio que anteriormente tenía una vulnerabilidad de redirección no validada abierta pero que era un caso de uso comercial y era necesario en el sistema de producción. La URL se ve a continuación:

hxxp://banners.xxx.com/www/content/afr.php?zoneid=737&target=_blank&cb=1708201502 

Aunque se puede usar un Redireccionamiento no validado para redirigir a los usuarios a sitios maliciosos, pero estoy consciente de que nuestros servidores internos no están enviando ningún código malicioso (lo verificamos a partir de la inspección de seguridad interna de todo el código consistente y activo en el servidor de anuncios de producción) . Por lo tanto, no está enviando contenido malicioso desde servidores de organizaciones internas a entidades externas.

Mi pregunta es, ¿por qué todos los servidores de separación de anuncios se denominan CnC en la mayoría de los informes como dicen en este informe a continuación y cómo respondemos?

De lo contrario, ¿podemos implementar una herramienta conocida para detectar si hay alguna certeza en nuestro Servidor de anuncios para los resultados entregados en los informes finales o tratarla como una agenda de marketing completa, ya que con la inspección manual, observamos el nivel de cabecera y el amplificador? ; datos a nivel de paquete que muestran falsos positivos.

    
pregunta Shritam Bhowmick 30.01.2016 - 17:49
fuente

1 respuesta

1
  

Mi pregunta es, ¿por qué todos los servidores de separación de anuncios se denominan CnC en la mayoría de los informes como dicen en este informe a continuación y cómo respondemos?

Debido a la forma en que se hace la publicidad hoy en día en Internet, es más fácil utilizar los anuncios para servir malware o realizar ataques sociales. Ya existe el término Malvertisement para la entrega de malware a través de anuncios y, por lo que sé, todas las principales redes de publicidad ya se vieron afectadas. . Si busca anuncios maliciosos encontrará muchos examples , informa que es está aumentando rápidamente y es incluso utilizado en ataques micro-dirigidos .

Lamentablemente, no hay una manera segura de averiguar si un lugar que ofrece para publicidad servirá de malware. El proceso de inclusión del anuncio es muy dinámico y hay muchas partes involucradas y licitación en tiempo real facilita la inclusión del anuncio solo en momentos específicos, para exploradores específicos, direcciones IP de origen específicas o similares. De esta manera, es imposible averiguar con inspección aleatoria si habrá publicidad o no.

Parte de estos ataques maliciosos son servidores de anuncios comprometidos, como el de Yahoo en 2014 , OpenX varias veces o MadAdsMedia 2015 .

    
respondido por el Steffen Ullrich 30.01.2016 - 18:14
fuente

Lea otras preguntas en las etiquetas