“廣告業(yè)的情況跟很多銀行業(yè)很像，一個(gè)不可避免的事實(shí)擺在廣告主眼前，那就是不能隨便相信廣告商提供給你的信息。”White Ops首席執(zhí)行官M(fèi)ichael Tiffany說。“有時(shí)候，兩種cookies、用戶信息等都是相同的，但是只有一個(gè)是真的，其他的是假的。”

[[117834]]

當(dāng)然，Tiffany指的是通過感染實(shí)際消費(fèi)者或用戶的計(jì)算機(jī)來瞄準(zhǔn)廣告活動(dòng)的僵尸網(wǎng)絡(luò)帶來的真正的威脅。這是比竊取登錄憑證更有效的方法，同時(shí)還可以避開異常檢測，但它也是一種更加危險(xiǎn)的方式。

“這是世界上最復(fù)雜的非政府發(fā)起的犯罪軟件，”Tiffany表示，“搶劫銀行的最好辦法不是直接進(jìn)去搶劫，而是攻擊其客戶的機(jī)器。然后在客戶登錄后開始行動(dòng)。攻擊者采用的是網(wǎng)絡(luò)感知惡意軟件，它們會埋伏在一旁等待，直到有人使用個(gè)人資料信息來登陸。”

通過這些類型的僵尸網(wǎng)絡(luò)，攻擊者有兩種方法來攻擊合法機(jī)器。其中一種是后臺進(jìn)程，在機(jī)器開啟時(shí)瀏覽所有內(nèi)容，并通過利用用戶的cookie來有效地偽裝成用戶。

第二種方法比較復(fù)雜，是通過“瀏覽器中間人”的做法，這甚至根本不是在后臺，而是在你實(shí)際的瀏覽器上；這種惡意軟件會注入更多廣告到你的合法瀏覽會話中。

“這種情況，在我看來，我正在流量CNN.com，”Tiffany表示，“但從廣告服務(wù)器和網(wǎng)絡(luò)來看，我正在瀏覽有很多廣告的其他網(wǎng)站。”

當(dāng)然，通過僵尸機(jī)器模仿人類訪客，并獲得數(shù)十億次廣告展示，這最終會讓廣告商花費(fèi)數(shù)百萬美元，并完全破壞網(wǎng)絡(luò)指標(biāo)的準(zhǔn)確性。事實(shí)上，不僅這種欺詐活動(dòng)不會被減少，企業(yè)還會花費(fèi)更多錢來瞄準(zhǔn)僵尸機(jī)器，而產(chǎn)生更高的開銷。Tiffany舉例說，僵尸機(jī)器不只是帶來10美分的每千人成本(CPM)，而是10美元的CPM。由于僵尸網(wǎng)絡(luò)的傳播性質(zhì)，最終將會扭曲互聯(lián)網(wǎng)上的所有數(shù)據(jù)。

“很少有人根據(jù)廣告來采取實(shí)際的行動(dòng)，”Tiffany表示，“在攻擊者采取行動(dòng)之前，你通常會展示數(shù)千次廣告，你很難判斷攻擊者將這個(gè)數(shù)字提高了50%。”

那么，這種類型的僵尸網(wǎng)絡(luò)已經(jīng)存在多久了呢?更重要的是，它們是在增加還是減少?

“我希望我能知道!”Tiffany表示，“我們沒有縱向的數(shù)據(jù)，但有趣的是，在過去幾年，我覺得情況變得越來越糟糕，因?yàn)閏ookie有點(diǎn)像身份驗(yàn)證機(jī)制。”

存在的問題是，使用異常行為來嗅探僵尸網(wǎng)絡(luò)的傳統(tǒng)做法已經(jīng)行不通，因?yàn)榻┦髁縼碜砸阎戏ǖ挠脩簟?/p>

“cookie正變得越來越受信任，欺詐檢測通常面對的是大數(shù)據(jù)[注]，通常是異常檢查，”Tiffany表示，“當(dāng)僵尸網(wǎng)絡(luò)能夠獲得每個(gè)用戶的信息，這是他們的制勝關(guān)鍵。”

不過，我們?nèi)匀挥邢Ｍm然對付這種復(fù)雜的方法會非常棘手，但并不是不可能。我們可以通過查看網(wǎng)絡(luò)流量和區(qū)分人類網(wǎng)絡(luò)流量和受遠(yuǎn)程控制的瀏覽器來檢測瀏覽器中間人惡意軟件。

“瀏覽器是非常復(fù)雜的操作環(huán)節(jié)，并且有一個(gè)運(yùn)行時(shí)引擎(運(yùn)行以JavaScript編寫的軟件)來與硬件交互，”Tiffany說道，“另外，還有DOM(文檔對象模型)包含與瀏覽器硬件環(huán)境相關(guān)的所有方法和對象。”Tiffany及其團(tuán)隊(duì)發(fā)現(xiàn)，無論什么時(shí)候在指令集和DOM之間構(gòu)建了可編程連接，他們都會發(fā)現(xiàn)事情朝相反方向發(fā)展。

“如果你在DOM，我們會發(fā)現(xiàn)可編程連接在環(huán)境的這個(gè)部分，”Tiffany稱，“這會使JavaScript運(yùn)行時(shí)環(huán)境會不同。”

檢測這些差異的技術(shù)并不一定要是靜態(tài)的，因?yàn)楫?dāng)受遠(yuǎn)程控制時(shí)，環(huán)境可以通過很多微妙的方式被改變。“我們有非常龐大的參數(shù)庫，我們可以快速替換檢測技術(shù)。”

并且這是公開進(jìn)行，但是系統(tǒng)不會泄漏任何成功/失敗信息返回給攻擊者。無論攻擊者的嘗試成功還是失敗，無論他們有沒有得到錢，他們都必須再來一回才知道他們第一回是否成功。

“他們可以看到我們的服務(wù)器，他們知道我們參與其中，但他們不知道他們是否成功或者是否欺騙到我們，”Tiffany表示，“大家都知道，瀏覽器中有很多攻擊面，我們可以利用這個(gè)特性來對付攻擊者：如果我們不能保護(hù)它，他們也不能。”

這最終會破壞攻擊者的經(jīng)濟(jì)業(yè)務(wù)模式。

“如果你讓計(jì)算機(jī)每天查看廣告，任何計(jì)算機(jī)都會開始耗錢，”Tiffany稱，“如果我們切斷這個(gè)模式中制造的錢，這將會導(dǎo)致黑市生態(tài)系統(tǒng)花費(fèi)很多錢。”

最終，攻擊者需要花很多錢才能成功發(fā)起攻擊，而檢測僵尸網(wǎng)絡(luò)則不會是昂貴的過程。

“如果我們的檢測成本低于攻擊者的成本，這將讓我們贏得這場戰(zhàn)斗。”(鄒錚編譯)