Dalam skenario ini, penyerang memanfaatkan iklan, bagian dari jaringan iklan besar, dan menanamkan payload terfokus router mereka dalam tubuh iklan. Iklan itu menjadi host pada jaringan googlesyndication.
"Malvertisements atau malvertising berbagai berbahaya dari iklan online umumnya digunakan untuk menyebarkan malware -. Kaspersky"
Definisi ini sedikit tanggal, tetapi Anda mendapatkan titik. Ini adalah tindakan penggunaan pembuatan penyerang dari dari apa yang bisa menjadi iklan yang baik atau buruk pada sebuah situs web, mereka kunci hari ini adalah eksploitasi apa yang dikenal sebagai server iklan. Dimana situs mengintegrasikan layanan iklan pihak ketiga untuk menampilkan iklan yang sesuai berdasarkan pengguna yang mengunjungi dan informasi jaringan iklan memiliki pada pengguna. Ini adalah skenario yang jauh lebih kompleks, tapi mudah-mudahan Anda mendapatkan titik.
Apa yang Harus Diperhatikan
Kami telah diberitahu aktivitas mencurigakan oleh klien perhatian yang melihat beberapa log di kotak membuka saat browsing situs web sendiri. Jika Anda ingat, ini adalah perilaku yang sama yang membawa kita ke penemuan asli. Dia mengidentifikasi iklan berbahaya, tip topi untuk jenis sir, dan mengirim kami link. Hal ini tentu memberi kami apa yang kita butuhkan untuk memulai menganalisis apa yang dilakukannya.
Saya bisa menangkap URL itu diakses:
Kode berbahaya adalah sangat dikodekan dan disuntikkan dalam tubuh iklan. Inilah yang payload mentah tampak seperti: Setelah sanitasi kode saya bisa menangkap fungsi decoding yang akan menerjemahkan semua kebisingan.
Memecahkan kode konten berbahaya, aku pergi melalui 2,716 karakter kosong sebelum aku menemukan sesuatu yang berbahaya. Sulit untuk mengetahui apakah ini disengaja untuk menghindari deteksi, tetapi kode yang ada, dan mereka berusaha untuk mengubah rumah router pengaturan DNS Anda dan memaksa reboot.
Kali ini mereka mengeluarkan perintah untuk jarak jauh reboot untuk memastikan cache DNS memerah dan situs berbahaya dimuat. Perbaikan kedua adalah counter. Sayangnya, selama pengujian itu dinonaktifkan.
Kali ini mereka mengeluarkan perintah untuk jarak jauh reboot untuk memastikan cache DNS memerah dan situs berbahaya dimuat. Perbaikan kedua adalah counter. Sayangnya, selama pengujian itu dinonaktifkan.
Tampaknya akan mengkonfigurasi server di LA sebagai server DNS, yang tampaknya bekerja dengan baik; selama pengujian kami tidak mengembalikan alamat berbahaya. Semua alamat IP diselesaikan yang benar, yang berarti itu mungkin menunggu go-live.
DNS Server kedua set Google, yang berarti mereka mungkin memiliki hanya satu server dikompromikan saat ini. Kami akan terus memperbarui informasi lebih lanjut menjadi tersedia.
Sources : Hackinsight
Author : Fioravante Souza
DNS Server kedua set Google, yang berarti mereka mungkin memiliki hanya satu server dikompromikan saat ini. Kami akan terus memperbarui informasi lebih lanjut menjadi tersedia.
Sources : Hackinsight
Author : Fioravante Souza
0komentar:
Post a Comment