Title (eng): Probing Online Services for Malicious Advertisment

Author: Fic, M. (Markus Daniel)

Description (deu): St. Pölten, Studiengang Information Security, Masterarbeit, 2016

Description (deu): Innerhalb der letzten Dekade ist die Anzahl an aktiven Internetnutzern rasant gestiegen. Üblicherweise sind die meisten Inhalte im Internet kostenfrei zugänglich. Ein häufiger Grund dafür ist, dass die Betreiber dieser Webseiten die Ausgaben für ihre Server mittels Werbeeinnahmen finanzieren. Heutzutage findet sich beinahe auf jeder Webseite eine Form von Online-Werbung. Der Werbeinhalt, welcher auf diversen Webseiten dargestellt wird, wird über spezielle Netzwerke, welche von sogenannten Werbeanbietern betrieben werden, verteilt. Aufgrund ihrer zentralen Rolle in der Verteilung von Internetwerbung an eine breite Masse von Webseiten, sind diese Anbieter einem erhöhten Risiko für Angriffe von Cyberkriminellen ausgesetzt. Die Möglichkeit, Millionen von Benutzern mithilfe eines einzelnen erfolgreichen Angriffs zu infizieren, macht Werbeanbieter zu einem beliebten Ziel für Angriffe. Kombiniert man die Ressourcen eines Online-Werbenetzwerkes mit denen eines Exploit Kits, ergibt sich eine bedrohliche Plattform zur Verteilung von schädlichen Inhalten. Diese Diplomarbeit stellt ein neuartiges Rahmenwerk zur Simulation von authentischen Benutzern in einer Cloud Umgebung vor und analysiert potenziell gefährliche Webseiten. Die vorgestellte Lösung erzeugt anpassbare virtuelle Maschinen mit Windows als Betriebssystem. Diese können mittels Konfigurationsdateien einfach verändert und anschließend in der Amazon Cloud in einer großen Anzahl eingesetzt werden. Durch die Konzipierung und Umsetzung dieser Infrastruktur können sowohl Desktop Betriebsysteme wie Windows, als auch mobile Endgeräte, wie zum Beispiel Smartphones oder Tablets mit Android, realitätsnah simuliert werden. Speziell präparierte Systeme, welche beispielsweise veraltete und angreifbare Browser Versionen und Browser Plugins aufweisen, sollen im Zuge des Verfahrens mit Schadsoftware infiziert und anschließend analysiert werden. Aufgrund raffinierter Gegenmaßnahmen zur Erkennung von Exploit Kits werden verschiedene Verfahren angewendet, um diesem Trend entgegenzuwirken. Zusätzlich zur Erläuterung der Implementierung des Prototyps wurden die gesammelten Ergebnisse evaluiert. Der entwickelte Prototyp zur Erstellung einer Infrastruktur ist vielversprechend. Allerdings erlaubt dieser ebenfalls einige Verbesserungen in Bezug auf Umfang und Effizienz der Lösung.

Description (eng): Within the last decade the number of active Internet users has grown rapidly. Typically, most of the content on the Internet is free. This is most likely due to the fact that website owners finance their expenses by online advertisements. Today, nearly every popular website has some kind of embedded advertisements. The content of advertisements that are displayed is often distributed over large networks by so called advertisement providers. Due to the fact that big advertisement providers play a central role in the distribution of advertisements, they also carry an increased risk of being targeted by cybercriminals. The capability of infecting millions of users by attacking a single target makes ad providers popular victims. However, when combining the abilities of an online advertisement network with an exploit kit, it results to a scary web based distribution-platform for malicious content. This thesis introduces an analysis-framework to simulate realistic users in an in-cloud environment and to perform automated analysis of potentially malicious websites. The presented approach creates customizable Windows virtual machine images which are based on configuration files and allows the deployment of a large number of instances in the Amazon cloud. The developed infrastructure is capable of deploying either a desktop environment in the cloud or mobile devices such as smartphones or tablets on a local system. Specially prepared images contain vulnerable browser versions or browser plugins which are supposed to be infected and analyzed after accessing potentially malicious URLs. Due to sophisticated evasion methods used by exploit kits, several techniques are used in order to adapt to this trend. In addition to describing the implementation process of the prototype, an evaluation of the gathered results show that the developed prototype looks promising, although it still offers a lot of room for improvement in efficiency.

Object languages: German

Date: 2016

Rights: © All rights reserved

Classification: Werbung; Internetkriminalität; Betriebssystem

Permanent Identifier