BLACK HAT USAカンファレンス。 100万のブラウザからのボットネット。 パート2

BLACK HAT USAカンファレンス。 100万のブラウザからのボットネット。 パート1



マットヨハンソン：次に、このコードの入力方法を紹介します。 多くの広告ネットワークがありますが、私たちはこれを選択しました。それは私たちが望むことをすることができるからです。







十分に大きいサイズのバナー画像を選択し、ここに挿入してURLを割り当てることができます。これにより、バナーをクリックした後、ユーザーは目的のサイトに移動できます。 この広告ネットワークの所有者は、HTML JavaScriptオプションを提供しています。これは非常に良い音です。

スライドの一番上に表示されているものから始めて、承認プロセス全体を実行する必要がありましたが、これはおそらく私たちの研究で最も困難でした。 これは、あなたが考えた理由ではなく、JavaScriptをあまりよく表しておらず、あまり気にしていないために起こりました。 実際、彼らは広告が美しく見え、広告のように機能することを確認したので、目に見えない道を進み、神秘的なJavaScriptコードの背景のどこかに単純に印を付けることができませんでした。



Jeremyが開発したコード実行スクリプトを挿入しました。下部のウィンドウのテキストボックスに表示され、問題なく広告主によって承認されました。 ただし、URLのようなものはしばしば変化するため、研究を多様化するためにいつでも再構成できるようにしたかったのです。 しかし、何か新しいことに挑戦したい場合は、承認プロセスを追体験する必要があります。 それほど時間はかかりませんが、彼らは時々それを承認し、時には彼らはそれについて何かを好まなかったので、私たちは変更を行わなければならなかったので、それは単に迷惑です。







たとえば、メールアプリケーションがスクリプトタグを開くと、すべてのJavaScriptコードが消えたため、移動する必要がありました。 ここに1つ未満のサインを置く必要がある理由を説明しなければならなかった、そしてさらに1つのサインがあり、その後、彼らは広告が適切に表示されなかったと言った、一般的には楽しかった。



そのため、コードを広告バナーに直接配置し、ファイルが置かれているソーススクリプトのみを入力しました。このコードは、広告ネットワークの所有者の承認なしにいつでも変更できます。 そうすれば、JavaScriptコードの静的分析を知っている人をなんとか雇ったとしても、ファイルを完全に良性のJavaScriptに変更することができます。 したがって、悪意のあるコードを導入するこの方法では、詐欺を検出することは非常に困難です。



次のスライドは、バナー広告を示しています。







これらの設計オプションのいずれかを承認しました。 私は他の画像を探すのが面倒だったので、WhiteHatの企業Webサイトからこのアイデアを取り入れました。 テキストは非常に単純です：「30日間の無料試用期間を取得し、今すぐリクエストしてください！」、バナーをクリックしてください。完全に無料です！



Jeremy Grossman：バナーコード内には、次のようなcampaign.jsファイルの場所のスクリプトタグがありました： ec2-23-20-141-160.compute-1.amazonaws.com/campaign.js

for (var i = 0; i < 10000; i++) { var img = new Image(); var url = 'http://<amazon_aws>/iclick/id?' + i; img.src = url; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

承認なしにいつでも変更できます。 これらのブラウザがこの特定の広告ネットワークで広告を表示するのにどれくらいの時間がかかるかわからなかったため、100、200、または300ビューではなく、すぐに10,000で停止し、最高を期待しました。

Matt Johansson：小さいことから始めて、ユーザーに連絡してもらうことができるかどうかを確認したかったのです。 これはネットワークの最後で確認できました。リクエストはブラウザから送信され、IPアドレスを判別できるため、リンクをたどったすべての人を確認しました。 まず、私たちはこのものをどのように展開し、コードがどのように機能するのかを見たいと思っていました。



Jeremy Grossman：別のスクリーンショットがあります。これは、BlackHat専用に用意した「簡単な」デモンストレーションです。







左下にはAmazon AWSサーバーが表示されていますが、現在も引き続き機能しています。 初期の指標は次のとおりです。Mattの広告ネットワークでのサーバーの稼働時間は8分、アクセスの合計数は4130です。これはサイトへのユニークビジターの数ではなく、合計トラフィック量1.9 MBの実際のWebリクエスト、同時リクエストの数は5です。メトリックス、Webサーバーログ、および支払い済みのサイトへのリアルタイム訪問時間数を登録するためのプロトコルが表示されます。



Matt Johansson：次のスライドを見ると、8分から10分の間で発生したジャンプを見ることができます-アクセスの総数は15,000に増加しました。







これはすべて、広告ネットワークに配置された1つの広告によってのみ実行できます。 広告ネットワークにさらに資金を追加できる場合は、「谷のピーク」のように見えます。 ブラウザの購入分により、これらすべてが可能になり、サーバーが広告ネットワークと連携してから10分以内に、約15,000件のリクエストを受け取りました。



それから、面白いことに気づきました。 従来の広告ネットワークを持っていなかったこと、ブラウザの分を支払ったことを思い出してください。つまり、誰かが私たちにブラウザを提供してこの魔法のネットワークの一部になりました。実際、彼らはブラウザの時間とプロセッサの時間を私たちに売りました このネットワークのバックグラウンドで何が起こっているのか、そこでどのブラウザが使用されているのかを確認することにしました。Firefoxなどで少し遊んでみたかったのです。



そして、PhantomJSからの大量の呼び出しがネットワークに着信していることがわかりました。 PhantomJSに精通しているのは誰ですか？ 数人しか見えません。







PhantomJSは、「ヘッドレス」ブラウザー、つまり、サーバーなどの画面のないデバイスで実行できるブラウザーです。 つまり、これはインターネット上に座ってデスクトップのブラウザタブをクリックする人ではなく、ロボットです。 単体テストに使用でき、コマンドラインから起動されます。 つまり、誰かが私たちのシステムでゲームを主導し、数分を獲得しようとしました。 他の人がさまざまな方法でそれを乱用し、見るのは楽しかったです。 議事録は実際のブラウザをクリックする人ではなく、PhantomJSボットであると確信しました。



Jeremy Grossman：次のスライドはプロセスのダイナミクスを示しています。15分で28,000件のリクエストを受け取り、20分でほぼ44,000件のリクエストを受け取り、22分でリクエスト数は61500件に達しました。



Matt Johansson：総トラフィックが非常に少ないことに気づくかもしれません。存在しないURLを送信するだけなので、20分で8.5 MBは404エラーが発生したことを意味します。



Jeremy Grossman：ほぼ26分、8万2千回の再生、35分、9つの同時リクエスト、ほぼ10万2千回のアクセスがあります。



Matt Johanson：広告ネットワークが通常モードで30〜45分間機能した後、「インプレッション」で決定的な打撃を与えるためにお金を最後まで節約しました。 実際、私はこの研究に1日あたり最大10ドルを費やすつもりでした。 したがって、43分後、255のリクエスト、133.5千のアクセスがあり、ネットワークは54分間でトラフィックのピークに達しました-256のリクエストと244425の訪問。







ターゲットの同時リクエスト-255を見てください。Apacheサーバーは高速に動作しません。スクリーンショットは、サーバーがメトリックデータを更新するために再起動したくないことを示しています。 ヒット数が13万に達し、トラフィックが36 MBに達した後、サーバースループットを少し増やすことにし、アプリケーション「Aplication Security Specialist（ASS）」のダウンロードを指示したため、さらに認定された「ass」を取得しました。セキュリティの分野で。 その後、トラフィック量は117 MBに急激に増加しました。 55分後、253 MBのトラフィックで256万の訪問がありました。



Jeremy Grossman：最後に、59分48秒後、つまりサーバーが動作を開始してから1時間後、画像がダウンロードされてから20分後、トラフィック量は1 GBに達しました。 その後、しばらくそのままにしておくことにしました。たとえば、7時間、そのままにしておきます。



次のスライドでは、システムの結果を8時間で見ることができます：400万回以上の訪問、114.7 GBのトラフィック。







マット・ヨハンソン：私たちは最初と同じ間違いをしました。夕食に行きました。 そのため、広告ネットワークの再生を開始する前に、たとえば、1時間あたり30,000回のビューがありましたが、コードをいじっていたので、昼食時にさらに1万回のビューを取得できると考えました。 私たちが戻ったとき、私たちは、ええ、素晴らしい、3万を少し上回りましたが、それから、3万ではなく、1桁以上-30万ビューに気付きました！



より多くのお金を使うと、はるかに速く「印象」を得ることができますが、私たちのケースでは、サーバーの18時間42分後にほぼ100万回のビューと240 GBのトラフィックがありました。ネットワーク。



Jeremy Grossman：最後に、241 GBのトラフィックで1日6時間経過した後、ほぼ150万回の視聴がありました。 このスライドからわかるように、その時点でシステムのほぼすべての時間を使い果たし、これ以上の時間は必要ないと判断しました。 しかし、私たちはそこに物事がどのように行き、夜中に何が起こるかわからなかったので、BlackHatのために電子商取引に入り、もう1分買いました。







マット・ヨハンソン：これはお勧めしません。1日10ドルを超えないようにルールを破らなければならなかったからです。







Jeremy Grossman：現在、250 GB近くのトラフィックがありました。 画面上で高速に実行されている行が表示されます。これらはApacheサーバーログです。サーバーは負荷に対処できず、正常に渡されなかったため、「このページは使用できません」というスクリーンショットが表示されます すべてのログを最後まで確認できましたが、時間がかかりすぎます。 だから、すべての喜びのために、私たちはわずか20ドルを支払っただけで、最終的には、イメージをダウンロードする要求の拒否で表された、古典的なDoSサービスの失敗を手に入れました。 その後、設定をリセットするだけで画像の読み込みをオフにしました。 再度有効にすることはできますが、ルートパスワードを表示したくありません。



Matt Johansson：画像を提供したときに実際の訪問が遅くなっていることに気付いたため、画像を無効にしたことに注意してください。 接続制限全体を使い果たしたわけでもありません。 このハックにはFirefoxを使用しませんでした。ブラウザーへの同時接続は6つしかありませんでした。 とても緊張していたので、この大きな赤いボタンを押してFTPクロールを開始しませんでした。何が起こるかわからなかったからです。 私たちは法的方法に決着しましたが、法的方法の使用でさえ、私たちにかなり感銘を受けました。







したがって、ハッカーの手法を試さなくても、多くのお金を費やすことなく、あなたはまともな結果を達成することができます。 スライドは、1日、20時間40分後、243 GBのトラフィックが表示のために消費されたことを示しています。つまり、画像が読み込まれなくなったため、そのボリュームは実質的に変化しませんでした。 今朝会議の前にここで会ったとき、私たちは約1500万人になると思っていたので、数時間後には404エラーで2000万ページビューになりました。



Jeremy Grossman：これ以上トラフィックを「ポンプ」できなかった唯一の理由は、サーバーのパフォーマンスです。 より強力なプラットフォームを使用して、1億または10億のビューに到達することもできますが、1つの比較的遅いApacheサーバーでは、これは不可能なタスクです。



Matt Johansson：したがって、私たちの結果は特に印象的ではありませんが、プロセスのスケーリングについては皆さんが理解できるので、通常のサイトに損害を与えても大金は必要ありません。



Jeremy Grossman：さて 、この結果を達成したので、FTPを使用した接続数に関するブラウザーの制限を回避し、スクリプトを実行して、何が起こるかを確認します。



Matt Johansson：ええ、多くの人がラスベガスに来てお金をスロットマシンに使います。私たちはここで広告ネットワークにお金を使います。



Jeremy Grossman：それで、Amazonサーバーへの400のFTP接続をループしました。



サーバーメトリックを取得した後、再び表示されなくなり、Webページに再びアクセスできなくなりましたが、ログ行がちらついているのがどれほど速いかを確認できます。 サーバーが実際に停止し、ブラウザがタイムアウトするため、再起動してみましょう。



Matt Johansson：広告ネットワークとの関係でFTPがどのように動作するかはわかりません。ボットではなく実際のユーザーのブラウザを使用している場合はどうなるかわかりません。 私たちが誰かをハッキングするのではなく、ネットワークがどのように機能するかを単に理解したことを皆さんに理解していただければ幸いです。 私たちはこの問題の法的側面を完全に順守し、広告ネットワークでの楽しみ方についてのアイデアを得ました。



私たちは法律を破ろうともせず、この承認プロセスを経ました。比較的良性で悪意のあるJavaScriptはありませんでした。「アダルト」広告ネットワークにも触れませんでしたが、広告バナーで何が起こったかは気にしませんでした。



Jeremy Grossman：いい質問を聞いた-Apacheログはどこから来たの？



実際、Apacheのデフォルトではログはありません。 おそらくこれについては後で説明します。 Austin Apacheがあります。ダウンロードしてインストールしました。 実行してみましょう。ここにログはありません。ローカルサーバーです。 Amazonサーバーでは、エラー408が表示されます。ページ要求への応答を待機するタイムアウトを超えたため、サーバーが応答していません。 ここではHTTP送信は使用されませんが、ポート80はまだ開いており、多くの接続を保持しています。 スライドに戻りましょう。ここで問題はありません。閉じることができます。



それで、あなたは法律の右側に留まりながら私たちがしたことを見ました。 明らかに、Mattが述べたように、情報セキュリティの世界では通常そうであるように、さらに先へ進むことができます。 知っている広告ネットワークには、多数のソフトウェア開発者がいます。 しかし、実際には彼らはソフトウェア開発者ではなく、単に広告プラットフォームで広告ネットワークを管理しているだけです。







彼らが広く使用しているツールの1つは、広告サーバーまたは広告エンジンであるOpenXです。 これはオープンソースソフトウェアです。

多くの広告ネットワークで使用されており、通常は数週間前に、広告プラットフォームの何百万人ものユーザーを危険にさらす深刻な脆弱性が発見されました。 この広告サーバーは、XSSクロスサイトスクリプティング攻撃の条件を作成するランダムなPHPコードを実行することにより、ハッキングされる可能性があります。



お金を払いたくないが、広告ネットワークを使用したい場合は、ハッキングしてそこにエクスプロイトをダウンロードするだけで広告を表示できるようになります。



Matt Johansson：私たちは実際に広告を配置したスロットマシンに投資したばかりで、この広告を作ったのは誰なのかを知るのは非常に困難です。これはiframeです。 iframeがコードを破壊する方法を調査し、ブラウザーのハッキングを処理しましたが、私たちの研究のポイントは、他の人が自分の手でハッキングできるようにブラウザーを使用しようとしたことです。



Jeremy Grossman：この調査は継続されます。Amazonサーバーを使用し、パートナーの一部を集めてDDoS保護を使用してサイトを攻撃しようとします。これが私たちの研究の本質です。



Matt Johansson：広告ネットワークのハッシュをクラックする方法を調べようとするので、JavaScriptが必要なだけ早くこれを行うことができるという良いアイデアを与えるメトリックがあります。 これをドルの金額と相関させて、50セントで何回MD5ハッシュをクラックできるかを調べることができます。







ジェレミー・グロスマン：繰り返しますが、100万台のブラウザーを動員できますが、同時にではないかもしれませんが、この500万台のブラウザーを約500ドルで入手して、強力なボットネットを作成できます。



私はウェブセキュリティの分野で十分に仕事をしてきましたが、セキュリティを確保するためにインターネットにハッキングし、インターネット上の既存のビジネスモデルにハッキングして、何からどのように保護するかを知る必要があると長い間言っていたことを思い出します。 ダンカミンスキーは、2010年12月21日、「インターネットをハッキングすることはできません。 今ではない、今までにない。」 今まで、彼は正しかった。



しかし、今では問題が発生しています。 広告ネットワーク、ブラウザプロバイダーの問題、サイト所有者の問題など、誰の問題なのかわかりませんが、実際には存在します。 そして、誰が責任を負い、誰がそれを修正すべきかはわかりません。



マットヨハンソン：写真を広告ネットワークにアップロードするだけで何ができるかを示しましたが、それ以上のことはしませんでした。あらゆる機会がありましたが、人々に害を与えることはありませんでした。 そして、これから身を守る方法はわかりません。攻撃者が利用できるメカニズムを示しただけです。



Jeremy Grossman：ご覧のとおり 、ブラウザーが広告ブロッカーの使用を提案する理由があります。 広告ブロッカーをオンにすると、ブラウザはこのタイプの攻撃に対して脆弱になりません。



Matt Johanson：または、インターネットから完全に切断します。



ジェレミー・グロスマン： Amazonサーバーの費用はどれくらいですか？



Matt Johansson：今日、私たちが実際に広告ネットワークにお金を投じたとき、パフォーマンスの前に75ドルを支払いました。そして、私は彼らから可能なすべてを絞り出そうとしました。



IPアドレスに関する最後の質問に答えます-バナーの承認を受け取ったとき、この承認を行った人のIPアドレスを見ましたが、彼は私たちのIPアドレスを見ることができず、メールアドレス以外の私たちについて何も知りませんでしたメール。



私たちの話を聞きに来てくれたみんなに感謝します！





ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推奨することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークな類似品のHabrユーザーのために30％割引： VPS（KVM）E5-2650 v4（6 Cores）10GB DDR4 240GB SSD 1Gbpsについて20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャの構築方法について読む クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？