Sito di rendering banner pubblicitario Fornire contenuti dannosi - come rispondere?

1

Abbiamo ricevuto un'e-mail a caso, che ovviamente era simile a un tentativo di marketing, tuttavia, è sempre necessario eseguire una verifica. L'email ha letto quanto segue:

We have identified that the website http://example.com/ is serving up malicious content. Attached is our initial report. Please can you confirm receipt of this email by directly replying to the sender.

When we find compromised websites, if we feel it is in the public interest, we inform search engine providers, Law Enforcement Agencies and our customers of the compromise to enable them to make appropriate steps. In some cases, we publish our findings within a reasonable time to ensure the general public are aware of any risks presented by the compromise.

We may be able to provide further information on the compromise as and when our research identifies it.

You have received this email because we notify sites by emailing to industry recognized email addresses for reporting compromised sites. If you have any questions then please feel free to contact us on the address used to send this email.

Posta questa email, abbiamo verificato con il nostro Ad-Server per il quale mi sono imbattuto e ho ispezionato il dominio che in precedenza aveva una vulnerabilità di reindirizzamento non convalidata aperta ma era un caso di utilizzo aziendale ed era necessario nel sistema di produzione. L'URL ha il seguente aspetto:

hxxp://banners.xxx.com/www/content/afr.php?zoneid=737&target=_blank&cb=1708201502 

Sebbene possa essere utilizzato un reindirizzamento non convalidato per reindirizzare gli utenti a siti dannosi, sono consapevole che i nostri server interni non inviano codici dannosi (l'abbiamo verificato dall'ispezione di sicurezza interna di tutti i codici coerenti e attivi al server di produzione) . Non invia quindi contenuti dannosi da parte di server di organizzazioni interne a entità esterne.

La mia domanda è, perché tutti i server con tag Ad sono definiti come CnC nella maggior parte dei report come hanno affermato in questo rapporto sottostante e come rispondere?

Possiamo altrimenti distribuire uno strumento conosciuto per rilevare se ci sono certezze sul nostro Ad-Server per i risultati forniti nei rapporti finali o considerarlo come un'agenda di marketing completa poiché con l'ispezione manuale, abbiamo guardato in basso al livello di intestazione e ampli ; dati a livello di pacchetto che mostrano un falso positivo.

    
posta Shritam Bhowmick 30.01.2016 - 17:49
fonte

1 risposta

1

My question is, why all the Ad-severing servers are termed as CnC in most reports like they claimed in this below report and how do we respond?

Perché il modo in cui la pubblicità è fatta oggi su Internet rende facile usare gli annunci per servire malware o fare attacchi sociali. Esiste già il termine Malvertisement per l'invio di malware tramite pubblicità e per quanto ne so già tutte le principali reti pubblicitarie sono state interessate . Se cerca il malvertisement troverai molti esempi , segnala che è aumenta rapidamente e questo è anche utilizzato negli attacchi con micro-targeting .

Purtroppo non esiste un modo sicuro per scoprire se un luogo che offri per la pubblicità servirà malware. Il processo di inclusione dell'annuncio è molto dinamico e molte parti sono coinvolte e offerte in tempo reale semplifica l'inclusione del malvertisement solo in momenti specifici, per browser specifici, specifici indirizzi IP sorgente o simili. In questo modo è impossibile scoprirlo con un'ispezione casuale se ci sarà o meno un sovvertimento.

Parte di questi attacchi di malvertisement sono server pubblicitari compromessi, come quello di Yahoo nel 2014 , OpenX più volte o MadAdsMedia 2015 .

    
risposta data 30.01.2016 - 18:14
fonte

Leggi altre domande sui tag