Blue Coat识别由网络广告驱动的虚假防病毒攻击

2011年8月22日,北京——网络安全与广域网优化解决方案领导厂商Blue Coat系统公司(Nasdaq: BCSI)近日宣布Blue Coat安全实验室已识别一种假冒防病毒攻击的新变种,它利用网络广告将用户引导至目前互联网上最大、最有效的恶意软件交付网络——Shnakule中。Blue Coat® WebPulse™服务将这种假冒防病毒负载定位为恶意软件,并自动对其进行阻止,保护了全球7500万用户。

Shnakule网络平均每天有2000个唯一主机名,最多可达4,357个。WebPulse服务平均每天记录超过21,000个进入该网络的请求。Shnakule在假冒防病毒攻击领域非常活跃,这种攻击一般是通过搜索引擎中毒而展开的。在其最近一次攻击中,它利用恶意广告来发起攻击。迄今为止,Blue Coat WebPulse服务已识别了超过15000个与最新攻击形式相关的用户请求。

最新Shnakule攻击分为三个阶段,主要利用恶意网络广告。第一阶段,搭建作为独立实体的恶意广告服务器,它们之间互相或与现有的Shnakule子网没有直接联系。第二阶段,新的Shnakule子网络将用户引导至恶意软件。最后一个阶段是恶意软件荷载,它频繁变化,企图逃过防病毒软件的检测。恶意软件荷载来自已经被WebPulse确认为Shnakule恶意软件交付网络组成部分的服务器。由于能够看到Shnakule,Blue Coat WebPulse服务在攻击发起之前就已经阻止了恶意软件荷载。

Blue Coat系统高级恶意软件研究员Chris Larsen表示:“尽管这种攻击最初是在6月末发起的,但是它仍在继续,在Blue Coat安全实验室最近对43种防病毒引擎进行的荷载检查中,其中只有两种引擎将荷载识别为恶意的或可疑的。最近,网络恶意软件变化太快,像防病毒软件这样的传统单层防御很难跟得上其发展速度。针对这种攻击,最成功的防御即类似于WebPulse——无论荷载是否加密,都能关联证据、自动识别并阻止可疑网络。

在目前的攻击中,没有一个流氓广告服务器在页面中出现托管其广告的服务器的名称,这表明受害的合法网站没有直接使用这些广告服务器。每个流氓广告服务器都至少在发起攻击一个月前通过不同注册名而搭建起来,这段相当长的时间足以成功地让网络广告公司确信他们服务的是合法广告。

Blue Coat WebPulse服务是一种为全球7500万用户提供威胁保护的协作式防御。由于每周有超过30亿次请求,WebPulse能够全面了解网络上的用户活动。通过将动态诱惑与中继和恶意软件荷载相关联,Blue Coat能够识别并阻止恶意软件交付网络及其发起的未来攻击。