從根本上說，我們之所以能夠免費使用各種網(wǎng)絡(luò)服務(wù)是因為它們有在線廣告的支持。在線廣告是一個高達(dá)數(shù)十億美元的龐大業(yè)務(wù)，由大規(guī)模的多層次廣告網(wǎng)絡(luò)基礎(chǔ)設(shè)施所支持，其中不僅包括合法的廣告商也包括網(wǎng)絡(luò)罪犯。實際上，安全廠商Blue Coat 公司2011年網(wǎng)絡(luò)威脅報告指出：惡意廣告已經(jīng)在2011年攀升至10大網(wǎng)絡(luò)攻擊方法中第3的位置。下面將介紹這種新現(xiàn)象的原理，以及如何最好地應(yīng)對它的某些結(jié)論。

在線廣告與惡意廣告

廣告網(wǎng)絡(luò)采用附屬網(wǎng)絡(luò)營銷模式，其中廣告商與大量的出版商（有大有小）合作進行廣告宣傳。出版商會根據(jù)引向廣告商的流量來獲得廣告費。這個復(fù)雜的附屬網(wǎng)絡(luò)類似與出版商和附屬計劃之間的中介--B2B協(xié)議，根據(jù)訪問包含廠家在線廣告的頁面的訪問量、觀看量或點擊量付費。

這個基礎(chǔ)設(shè)施龐大而復(fù)雜，包含大量的微型交易、業(yè)務(wù)關(guān)系以及廣告與點擊鏈接目的地之間的聯(lián)系?？尚刨嚨拇笮椭麖V告網(wǎng)絡(luò)域可能向較小、新且不太值得信賴的廣告域外包業(yè)務(wù)。由于廣告投放商和廣告投放地點之間有著多層次的分離和自動化，信譽和信任度經(jīng)常是假定或通過附屬網(wǎng)絡(luò)層繼承得來。

網(wǎng)絡(luò)罪犯喜歡利用其他人的信任和信譽--及其基礎(chǔ)設(shè)施--向盡可能多的人提供惡意軟件。向合法廣告網(wǎng)絡(luò)注入惡意廣告讓網(wǎng)絡(luò)罪犯能夠廣撒網(wǎng)而不會露出痕跡。

網(wǎng)絡(luò)罪犯將：

->創(chuàng)建一個無害的新廣告或廣告域--一旦獲得大多數(shù)防御措施的信任和允許，即轉(zhuǎn)化為某些具有威脅的東西；

->或，感染其他人的可信網(wǎng)絡(luò)廣告，使用與感染可信、高信譽網(wǎng)站相同的注入或感染方法。

惡意廣告活動就類似于任何實際的廣告活動，但會突然或靜悄悄地重新改動廣告本身或其鏈接以提供惡意軟件負(fù)載。此負(fù)載然后會感染用戶的計算機、盜竊登錄名和密碼或從用戶處盜竊金錢或數(shù)據(jù)。

我們首先看一下廣告如何從附屬網(wǎng)絡(luò)進入網(wǎng)頁，以及網(wǎng)絡(luò)罪犯如何利用已經(jīng)成為網(wǎng)絡(luò)廣告領(lǐng)域特征的附屬網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

通常，網(wǎng)站擁有者向與其有關(guān)系的主廣告商提供廣告空間。這是一個自動化過程：當(dāng)某個頁面因為某個新聞等原因受到大量訪問時，文章中的關(guān)鍵詞即發(fā)送給主廣告商的軟件。例如，'高爾夫'、'佛羅里達(dá)'和"奢侈"等關(guān)鍵詞針對的是有興趣到佛羅里達(dá)海島度假的高端消費人群。這款軟件尋找是否有與其高度相關(guān)的廣告。如果主廣告商沒有針對這些人群的廣告，或廣告成本超過了客戶的預(yù)算，這款軟件就會從其附屬網(wǎng)絡(luò)中尋找針對性不那么高的廣告（費用更低）。如果此附屬網(wǎng)絡(luò)沒有合適的廣告或不愿意為普通廣告支付二級費用，他們可以從他們的附屬網(wǎng)絡(luò)中尋找低廉/普通廣告。這個產(chǎn)業(yè)鏈會一直找下去。

很明顯，這個附屬/合作伙伴/子附屬協(xié)議網(wǎng)絡(luò)以及廣告網(wǎng)絡(luò)之間模糊的責(zé)任為惡意廣告或惡意廣告域提供了鉆空子的良機。

現(xiàn)在，像所有網(wǎng)絡(luò)廣告一樣，惡意廣告也會有針對性（通過"結(jié)算中心"或"數(shù)據(jù)保護"等關(guān)鍵詞）地讓廣告的效果最大化，并且他們在網(wǎng)站之間創(chuàng)建動態(tài)但有針對性的鏈接，目的就是吸引特定類型的受眾。

試圖繞過安全措施的轉(zhuǎn)變和時機戰(zhàn)術(shù)

惡意廣告攻擊的一個主要特征是惡意廣告或廣告域?qū)臒o惡意內(nèi)容開始以多次通過安全軟件的檢查，從而獲得干凈的評價和良好的信譽。

就像間諜小說中的潛伏者，耐心會得到回報。花費時間在廣告網(wǎng)絡(luò)中獲得良好的聲譽并通過多次惡意軟件掃描，網(wǎng)絡(luò)罪犯在網(wǎng)絡(luò)廣告結(jié)構(gòu)中贏得了可信賴的寶貴信譽，然后發(fā)動攻擊。當(dāng)潛伏者啟動后，廣告背后的路徑就會改變，把點擊導(dǎo)向惡意軟件主機，而此惡意軟件連接能夠在有針對性的活動中執(zhí)行最邪惡的任務(wù)。第二天，他們就消失了。

網(wǎng)絡(luò)罪犯的惡意廣告戰(zhàn)術(shù)傾向于在周末發(fā)起攻擊，因為周末時IT工作人員比較少，防御尚未更新，這就使得攻擊被發(fā)現(xiàn)的可能性降低。記住，典型的網(wǎng)絡(luò)防御都需要更新--在安全系統(tǒng)能夠?qū)π峦{采取措施之前，必須應(yīng)用新的數(shù)據(jù)庫。

應(yīng)對惡意廣告的基礎(chǔ)性技術(shù)

網(wǎng)絡(luò)罪犯經(jīng)常等待數(shù)個月的時間來建立合法的廣告基礎(chǔ)設(shè)施，目的是在最合適的時間攻擊用戶并騙過以前基于信譽的防御。很明顯，當(dāng)面臨惡意廣告時，安全系統(tǒng)不能依賴信譽來判斷需要阻止哪個廣告。相反，我們需要的先進安全系統(tǒng)應(yīng)該能夠?qū)崟r評價網(wǎng)絡(luò)屬性以及他們所依賴的廣告。

類似地，我們不能等待在計算機上安裝"安全更新"，它或許已經(jīng)太遲了。如果安全系統(tǒng)有任何"點擊此處更新定義文件"等要求，它就很可能無法保護用戶，特別是在周末。對在家、路上或辦公室的用戶的保護必須按需提供，你應(yīng)當(dāng)尋求基于某種云安全模式的安全系統(tǒng)，它能提供按需保護。