隨著線上廣告的普及,惡意廣告(Malvertising)成為資安圈日益嚴重的問題。惡意攻擊者透過各類技術嵌入惡意廣告,誘使用戶點擊,進一步散播惡意軟體和竊取資料。本篇文章將介紹惡意廣告的常見技術手段,並分享以ASP.NET MVC系統為例的測試和防禦實踐。
(這邊簡單地用了HTML增加了紅色的字樣,但是廣告的話可能是付費版的惡意插入導致我們可以幫廣告刷流量!)
惡意廣告是指利用線上廣告渠道傳播惡意程式碼或誘導至詐騙頁面的手法。攻擊者可能會利用:
Google Ads及各大廣告平台的點擊付費(PPC)廣告,也成為攻擊者擴散惡意軟體的管道。2022年趨勢科技就發現IcedID殭屍網路透過Google PPC散播惡意程式。
偵測與滲透
攻擊者先掃描網站尋找存在 XSS、檔案上傳、不當權限設定等漏洞。
植入惡意腳本
在未受控輸入介面注入JavaScript廣告代碼,或直接入侵伺服器修改網站原始碼。
引導訪客
惡意腳本會彈窗廣告、植入重定向連結,甚至下載勒索軟體等攻擊組件。
持續擴散
攻擊者利用第三方廣告網路鏈接,批量利用被入侵網站來散播惡意內容。
本次測試基於MVC留言板功能,留言內容以Raw形式渲染,無過濾HTML標籤。
@Html.Encode() 避免HTML注入。惡意廣告攻擊手法持續進化,網站管理者應重視輸入驗證及輸出編碼,提升系統整體安全防護能力。同時,惡意廣告的防範也需結合用戶端安全教育與瀏覽器安全機制,才能有效減少資安風險。
本來以為MV C網站的架構可以攻陷資料庫網頁等,但是以不是駭客的身分還是很難攻擊本機端,所以過後幾天應該會使用AI工具分析回報及從本機端如何加密檔案等資安操作,不會再著重在MVC架構上了!
趨勢科技Malvertising惡意廣告分析,
Microsoft新聞 - Adrozek惡意軟體攻擊
TW-CERT網站:SEO Poisoning與惡意廣告攻擊案例
來源
惡意廣告Malvertising - 資安趨勢部落格 https://blog.trendmicro.com.tw/?cat=2057
Google 搜尋第一條連結不要馬上點!專家指惡意廣告已成駭客 ... https://techorange.com/2024/09/09/google-search-hacker-ad/
【資安關鍵字:惡意廣告|Malvertising】以線上廣告作為誘餌 https://www.ithome.com.tw/news/144028
[利用SEO中毒(SEO Poisoning)導向使用者到詐騙網站 https://www.twcert.org.tw/tw/cp-104-8349-91d56-1.html
惡意軟體Adrozek潛入各大搜尋瀏覽器,植入惡意廣告並竊取 ... https://news.microsoft.com/zh-tw/features/widespread-malware-campaign-seeks-to-silently-inject-ads-into-search-results-affects-multiple-browsers/
逾3千個網站被用於發動DeceptionAds攻擊,每天推送逾1百 ... https://www.ithome.com.tw/news/166607
惡意廣告 - 資安趨勢部落格 https://blog.trendmicro.com.tw/?cat=2387
行為比對感知技術之於網路攻擊漏洞偵測 https://www.airitilibrary.com/Article/Detail/U0001-3101201214545000
不只Google 惡意廣告滲入網路搜尋引擎 https://www.technice.com.tw/3c/139742/
[不安全網站的10 大跡象:如何及時發現並解決? https://rab.tw/website-not-safe/
iThome鐵人賽
看影片追技術