Il sito web popolare contiene annunci che attivano la scansione remota da botnet: cosa devo fare?

3

Uno dei principali canali TV del mio paese ha un sito Web da cui è possibile guardarlo dal vivo - in streaming. Ovviamente, nel frattempo serve annunci pubblicitari, principalmente da partner di Google. Una notte ho aperto il sito web mentre guardavo i miei log del router e ho notato che, secondo il mio router, stavo facendo DDoSed di circa 20 indirizzi IP.

Ho esaminato ulteriormente e ho scoperto che questo accade più volte che apro il sito web nei momenti di punta (20-23) e autorizzo Javascript di terze parti. Nello specifico, accade quando consento al dominio partners.googleadservices.com, che a sua volta carica altri javascript su un dominio diverso, che a sua volta carica più javascript esterni, che alla fine risulta che il mio IP viene catturato e "DDoSed" dal botnet.

Il dominio di terzo livello dell'URL effettivo caricato per ultimo prima dell'attivazione dell'evento è elencato online come dominio che qualche tempo fa aveva a che fare con la distribuzione / monetizzazione di un'estensione browser dannosa.

Ciò che il router chiama "DDoS" è in realtà composto da pacchetti UDP inviati da porte casuali a porte casuali. I log non sono più specifici e non ho avuto voglia di inoltrare tutto il traffico delle porte per analizzarlo.

Ho dato un'occhiata alle macchine dietro quegli IP e sembrano macchine compromesse: appartengono a vari registrar molto diversi e talvolta espongono servizi apparentemente vulnerabili (server web, vecchie interfacce router, controller di webcam ... .).

La cosa più strana è che la prima volta che ho urlato gli IP di origine, la maggior parte di loro appartiene al mio paese (non uno enorme) e la più frequente era in realtà dalla mia città - decisamente non grande! Ma probabilmente è stata solo una coincidenza dato che con più dati gli IP sembrano essere distribuiti in tutta Europa.

Ora ho due domande e spero sia opportuno chiederle qui. 1) È quello che mi sembra? Un annuncio malevolo o compromesso e che attiva una scansione botnet per reclutare più macchine? 2) È normale e comune? cosa si dovrebbe fare? Ignoralo? Dillo al proprietario del sito web? Dillo al fornitore di annunci? Dovrebbe / am-i-legally-allowed-to investigare di più?

Grazie!

    
posta sowdust 22.08.2016 - 21:52
fonte

1 risposta

4

Analisi molto interessante.

Gli annunci / le creatività dannosi stanno diventando più accurati e precisi nel loro targeting, il che significa che includono sempre più codice che decide se il payload dannoso deve essere distribuito o meno, e in caso contrario viene consegnata una creatività legittima.

Quindi non è impossibile e in effetti non è nemmeno improbabile che l'operatore che controlla questa distribuzione dannosa abbia come target un'area geografica specifica in un momento specifico e che, a seguito di tale targeting, ci sia stato un segnale che il tuo indirizzo IP dovrebbe essere invitato a partecipare alla festa, che si spera sia stata sventata dal router o da altre difese.

In termini di azioni, ne ho due da suggerire.

  1. Contatta il proprietario del sito web, la stazione TV. Hanno il controllo su quali tipi / fornitori di annunci / creatività sono consentiti sulle loro proprietà (inventario) e la loro reputazione - non l'inserzionista o lo scambio di annunci - è influenzata se un'attività pericolosa viene rilevata dai loro clienti o da altri monitor. Quindi, contattaci con tutti i dettagli che trovi.

  2. Controlla che il computer da cui stai navigando non sia compromesso, ad es. non sta ascoltando su quelle porte udp, o ha processi insoliti in esecuzione, o sta emettendo strane richieste di comando e controllo in uscita.

risposta data 22.08.2016 - 22:31
fonte

Leggi altre domande sui tag