Blog

Blog 6

ISPs chineses estão injetando Ads e Malware em Páginas da Web

27 de fevereiro de 2016 by Rakesh Krishnan

   China ganhou uma atenção global considerável quando se trata de suas políticas da Internet nos últimos anos; se ele está introduzindo o seu próprio motor de busca apelidado de " Baidu ", Great Firewall of China , o seu homebrew Sistema Operacional China (COP) e muitos mais.

   Junto com os desenvolvimentos, a China tem sido criticada por suspeitas backdoors em seus produtos: Xiaomi e Estrela N9500 ​​smartphones são as principais exemplos.

   Agora, chineses Internet Service Providers (ISPs) têm sido pego em flagrante para injetar anúncios, bem como Malware através do seu tráfego de rede. Três pesquisadores israelenses descobriram que os principais ISPs baseados em chinês nomeou China Telecom e China Unicom , duas das maiores operadoras de rede da Ásia, têm sido envolvidos em uma prática ilegal da injeção de conteúdo no tráfego da rede.

   ISPs chineses tinham criado muitos servidores proxy para poluir o tráfego de rede do cliente, não só com anúncios insignificantes, mas também ligações de malware, em alguns casos, dentro dos sites que visitam. Se um usuário de Internet tenta acessar um domínio que reside nestas ISPs chineses, o pacote forjado redireciona o navegador do usuário para analisar as rotas de rede desonestos. Como resultado, o tráfego legítimo do cliente será redirecionado para sites maliciosos / anúncios, beneficiando os ISPs.

   

Veja como Malware e os anúncios são injetados


   No trabalho de pesquisa intitulado 'Targeted-Site Falso injeção de conteúdo pelos operadores de redes ", escreveram os pesquisadores israelenses que a tática foi agora ampliada para ISPs principais - as empresas de Internet que os ISPs ponta de interconexão com o resto dos ISPs globalmente. Esses ISPs criaram servidores especializados que monitoram o tráfego de rede para URLs específicos e passar para alterá-lo, não importa os usuários finais são os seus clientes ou não.


   Métodos de Injeção:


   Vários métodos tinha sido adoptado pelos ISPs para se infiltrar no tráfego legítimo. Alguns deles são:

   

1- Dentre Injection Banda TCP


   Ao contrário do passado, quando ISPs modificado pacotes de rede para injetar anúncios, os operadores de rede a enviar os pacotes forjados, sem deixar cair os legítimos. Curiosamente, em vez de intercepção ou reescrita de pacotes de rede, clonagem de resposta HTTP pacotes tinha sido adoptado pelos ISPs para replicar a infecção. Os clones ISP o tráfego legítimo, modifica o clone, em seguida, envia os pacotes para o destino desejado.

   Então, finalmente, há 2 respostas pacotes gerados por uma única solicitação. Assim, há uma chance de pacotes forjados para ganhar a corrida, enquanto o pacote legítimo alcança finalmente. Uma vez que o tráfego clonado nem sempre chegam aos utilizadores finais antes da legítima, o tráfego injetado é mais difícil de detectar. Mas uma análise séria com netsniff-ng iria nocautear os pacotes falsos.

   

2- Injecção de HTTP

   HTTP é um protocolo cliente-servidor sem estado que usa TCP como o seu transporte. Como TCP só aceita o pacote inicial sobre o seu recebimento e descarta a segunda, há uma chance de receber o pacote falso em primeiro lugar; se a infecção tinha sido realizada. Aqui, o usuário pode obter uma resposta com status HTTP Número 302 (redirecionamento) em vez de HTTP Estado Número 200 (OK) e seria re-encaminhado para os outros links não-legítimas.

   Como identificar desonestos pacotes?

   1) Identificação IP

   Valor de identificação IP não contém um contador que é incrementado sequencialmente após cada enviou o pacote. O pacote forjado retorna logo após fazer um pedido que se disfarça como um pacote legítimo. Mas o carimbo de tempo em cada pacote iria fornecer provas suficientes para eliminar o pacote desonestos. O pacote forjado é aquele que tem a maior diferença absoluta entre o valor de identificação e a média dos valores de todos os outros pacotes de identificação

   2) TTL (Total Time to Live)

   Cada pacote recebido contém um valor inicial definido pelo remetente, que calcula o número de saltos cobertos por pacotes durante a transmissão. Se pacote é recebido com diferente número de contagens hop, então seria claramente traça uma linha entre os legítimos e o Ilegitimo. O pacote forjado é aquele que tem a maior diferença absoluta entre o valor TTL e a média dos valores TTL de todos os outros pacotes

   3) Análise de sincronismo

   Carimbo de tempo no pacote capturado pelos sistemas de monitoramento na entrada para a rede de Borda iria descobrir a genuinidade. O pacote de dados com aparente tempo proximidade iria diferenciar os pacotes legítimos dos pacotes forjados com o tempo de chegada incomparável.

   

Lista dos Grupos de infecção


android-plataforma-open-source

android-plataforma-open-source


   Em geral, 14 ISPs diferentes tinha sido descoberto com fundo malicioso, e, destes 10 são provenientes da China, 2 da Malásia, e 1 cada da Índia e Estados Unidos.

   Seguem-se os grupos de injecção e as suas características:

   1. Hao - Indicados ao usuário hao123.com si mesmo, mas usando um mecanismo de resposta HTTP 302 para infectar usuários.

   2. GPWA - O site genuína do jogo tinha sido forjada para outro domínio web que redireciona inteligentemente o tráfego para 'qpwa' (às vezes, pública não iria encontrar a diferença entre 'q' e 'g'). O conteúdo forjada aqui inclui um JavaScript que se refere a um recurso que tem o mesmo nome que o originalmente solicitado pelo usuário, mas o recurso forjada está localizado na qpwa.org registrado para um cidadão romeno.

   3. Duba Group - As injeções neste grupo adicionar ao conteúdo original de um site um botão colorido que solicita a vítima a baixar um arquivo executável a partir de um link no duba.net domínio. O executável é sinalizado como malicioso por vários fornecedores de antivírus.

   4. Mi-img - Nestas sessões injetados, o cliente, o que parece ser um dispositivo Android, tenta baixar um aplicativo. A resposta redirecionado navega em um banco de dados on-line bot que havia sido identificado por uma pesquisa BotScout.

   5. Servidor Erased - Neste grupo, as injeções eram idênticos à resposta legítima, mas o valor original do cabeçalho HTTP 'Servidor' é alterado.


   

Motivo por trás do ataque

   Ambas as agências de publicidade e os ISPs são beneficiados por redirecionando o tráfego do usuário para os locais correspondentes. Esta prática marcaria um aumento na receita propaganda e outros lucros para os anunciantes e provedores de acesso.

   Durante sua pesquisa, os pesquisadores registrados grandes quantidades de tráfego Web e detectou cerca de 400 incidentes de injeção baseados nesta técnica.

   A maioria destes eventos aconteceu com ISPs na China e países do Extremo Oriente, mesmo que o tráfego originado de países ocidentais, o que significa que um utilizador alemão acessar um site hospedado na China também é suscetível a ter seu / sua tráfego injetado com anúncios ou malware.

   

Como atenuar?

   Dado que as empresas que se dedicam a tais práticas são ISPs ponta - a rede de fornecedores finais que conectam os usuários à Internet, os usuários podem mudar o seu provedor de Internet. No entanto, a maneira mais simples para combater este problema é para operadores de sites para suportar HTTPS para os seus serviços, como todos os sites que infectam os usuários estão SSL-less.

   Os sites que fornecem URLs maliciosas não são guardados por Escudo SSL, tornando-os vulneráveis ​​a realizar as coisas Illegit. Portanto, o uso de sites baseados em HTTPS iria bloquear esses tipos de ataques, para que os usuários são aconselhados apenas para furar a sites SSL. Entregar o conteúdo Illegit, ou redirecionar a multidão para esconder o dinheiro acabaria por perder a confiança do público nas tecnologias.

Comentarios (0)

Faça um comentário