Il malvertising è una minaccia crescente che inserisce codice dannoso in circuiti pubblicitari online legittimi, compromettendo anche siti considerati sicuri. Gli attaccanti utilizzano tecniche come l'hacking e il social engineering per diffondere malware, mirato a specifici utenti attraverso pubblicità infette. Le misure di difesa includono aggiornamenti di sicurezza, impiego di plugin di blocco pubblicitario e controlli approfonditi sui partner commerciali in ambito pubblicitario.

1. Malvertising:
una minaccia in espansione
Giacomo Milani (giacomo83m@gmail.com)
Andrea Minigozzi (andrea@fantaghost.com)

2. $whoami (Giacomo Milani)
ictforum14$ finger –-info giacomo83m@gmail.com
Giacomo Milani (giacomo83m)
Home: Finmeccanica G-CERT Manager
Details:
Responsabile CERT Finmeccanica, inizia nel 2002 la sua
carriera professionale nella sicurezza informatica con lo
sviluppo di network analyzer in ambiente Linux/FreeBSD
seguita da consulenze come libero professionista svolgendo
attività di Vulnerability Assessment e Penetration Testing .
Attualmente si occupa di Incident Management e Malware
Analysis.
Membro ISC2 Italy Chapter

3. $whoami (Andrea Minigozzi)
ictforum14$ finger –-info andrea@fantaghost.com
Andrea Minigozzi (FantaGhost)
Home: AgustaWestland IT Security Analyst
Details:
Approccia il mondo delle reti con un Videotel nel 1988, dopo
aver speso ore sul suo fido Sinclair ZX Spectrum 48K. Dal
1999 si occupa di ICT Security. Attualmente certificato
CISSP ed OPST ha competenze in ambito SIEM, Malware
Analysis, Incident Response, Computer and Network Forensics,
PenTesting e Vulnerability Assessment.
E’ contribution writer per la sezione Ventuno di VareseNews
ed ha sviluppato il tool open-source FGscanner.
Membro Clusit ed ISC2 Italy Chapter.

4. Agenda
Definizione e contesto
I numeri dell’advertising su web
Timeline Attacchi
Le prime reazioni
Metodologie di attacco ai Publisher
Impatti e Conseguenze
In-App ADS exploiting
Difesa e Prevenzione - Inserzionisti
Difesa e Prevenzione – Corporate
Difesa e Prevenzione – Utenti
Domande / Risposte - Contatti

5. Il Malvertising, unione delle parole inglesi malware e advertising, consiste
nell’inserire codice malevolo all’interno di legittimi circuiti di pubblicità online.
Fonte: http://www.anti-malvertising.com/
Malvertsing: definizione

6. Numeri di visite ai circuiti web advertising riferiti all’anno 2012
Adblade 209.3 milioni
Google 156.1 milioni
Facebook 148.3 milioni
Meebo 136.8 milioni
Vibrant media 136.1 milioni
Undertone 125.2 milioni
Ask Network 90 milioni
Kontera 75.5 milioni
Click Booth 43 milioni
AOL 40.8 milioni
LinkedIn 39.4 milioni
Fonte: http://www.quantcast.com
Web Advertising: i numeri
The ads revenues involved are significant, with
the Bloomberg newswire noting that online advertisers spent £25.5
billion (US$ 42.8 billion) in the US last year (2013)– exceeding the
total for broadcast TV. (SC Magazine UK)

7. Timeline attacchi (primo semestre 2014)

8. Timeline attacchi (secondo semestre 2014)
23 Giugno 2014
Syrian Electronic
16 Giugno 2014
deviantART
Army
3 Luglio 2014
Bitcoin Phising
ADS
6 Agosto 2014
New Malvertising
Attack
23 Settembre
2014
Malvertising
Is 9 Time
Bigger
29 Settembre 2014
Google Doubleclick

9. Le prime azioni di contrasto

10. Metodologie di attacco ai Publisher
Gli attaccanti usano diverse tecniche per aggiungere contenuti malevoli negli
ads di siti legittimi:
ACQUISTO DIRETTO (a volte con carte di credito
rubate)
CIRCUITI DI SCAMBIO ADS
VULNERABILITA’ TECNOLOGICHE
Fonte: http://resources.infosecinstitute.com/malvertising-growing-threat-start-2014/

11. Vettori di infezione
Una volta compromesso il circuito di Ads, gli attaccanti si concentrano sugli
utenti, utilizzando due vettori:
Hacking
Viene compromesso il circuito della distribuzione
advertising, tramite un attacco diretto. Una volta preso il
controllo dell’infrastruttura si trasforma un contenuto di un
inserzionista legittimo inserendo un codice malevolo quale
frame, redirect della pagina, utilizzando exploit kit che
sfruttano vulnerabilità di plugin ad esempio java/flash.
Social Engineering
Utilizzando una falsa identità ci si registra ad un circuito
pubblicitario ed, in prima fase, si distribuiscono contenuti
validi. Una volta ottenuta una buona reputazione, si
cambiano i contenuti con quelli malevoli.

12. Gli impatti
Reputazione dei siti web
Anche i siti considerati sicuri possono diventare veicolo di
infezione
Targeting Attack
E’ possibile selezionare accuratamente i bersagli della
campagna di diffusione malware sfruttando la capacità
intrinseca di profiling dei circuiti ADS
Diffusione
Non è più l’utente che naviga verso il malware ma viceversa. Il
malware si troverà sui siti che l’utente bersaglio visita
normalmente
Invisibilità
L’attaccante non è direttamente esposto verso il bersaglio.
Spesso non è visibile nemmeno al circuito ADS stesso

13. In-App ADS Exploiting (CVE-2014-6041)
La maggior parte degli ADS contenuti nelle app sono visualizzati tramite
l’interfaccia WebView di Android. Ad inizio 2014 è stata scoperta una
vulnerabilità grave nel codice di questa interfaccia che può essere sfruttata
tramite Malvertising. A distanza di mesi il 73% dei dispositivi Android in
circolazione risulta ancora vulnerabile (Android < 4.2)...GoogleGlass compresi !
Google ha introdotto nei dispositivi Android la
conferma del click per In-App ADS

14. Difesa e Prevenzione - Utenti
Aggiornare il Browser e Sistema Operativo
Installare un plugin per il blocco degli ADS
(per esempio ADBlock Plus, noscript, ecc...)
Utilizzare ed aggiornare il proprio antivirus
Segnalare comportamenti anomali:
http://www.google.com/safebrowsing/report_badware/
Non cliccare sulle inserzioni pubblicitarie se non strettamente necessario

15. Difesa e Prevenzione - Corporate
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to
Exploit Kit"; flow:established,to_server; content:"/ajs.php?zoneid="; http_uri; fast_pattern:only;
pcre:"//ajs.php?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to
Exploit Kit"; flow:established,to_server; content:"/afr.php?zoneid="; http_uri; fast_pattern:only;
pcre:"//afr.php?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;)
http://permalink.gmane.org/gmane.comp.security.ids.snort.emerging-sigs/21992
Inserire la categoria «Advertising» nei sistemi di Web Filtering / Proxy
Browser Sandboxing / Browser Virtualization

16. Difesa e Prevenzione - Inserzionisti
Porre particolare attenzione ai partner commerciali per i quali si pubblicano
contenuti. Si consiglia di effettuare un’attività di background checking sul sito Anti-
Malvertising che censisce le realtà coinvolte in passato su questo tipo di incidenti:
http://www.anti-malvertising.com/ResearchEngine
Verificare i domini utilizzati attraverso il servizio WHOIS, guardando come e dove sono
registrati
Effettuare attività di formazione per educare l’utenza e i tecnici a riconoscere
l’attacco in modo da per potere intervenire con tempestività.
Adottare strategie commerciali che incentivano l’acquisto di grandi volumi di spazio
pubblicitario rispetto ai piccoli volumi.

17. Domande e Risposte - Contatti
Giacomo Milani (giacomo83m)
giacomo83m@gmail.com
Andrea Minigozzi (FantaGhost)
andrea@fantaghost.com
http://www.festivalict.com/i-relatori-2014/