Title (eng): Probing Online Services for Malicious Advertisement

Author: Dick, M. (Matthias)

Description (deu): St. Pölten, Studiengang Information Security, Masterarbeit, 2016

Description (deu): Online Werbenetzwerke haben sich im vergangenen Jahrzent zu einem Milliarden-Dollar- Geschäft entwickelt und werden heutzutage von fast jedem Webseitenanbieter eingesetzt, um Webseiten-Besuche zu monetarisieren. Online-Werbung ist jedoch nicht nur für Webseitenanbieter zur Einnahmequelle geworden, auch Cyber-Kriminelle wurden in den vergangenen Jahren auf das Geschäftsmodell aufmerksam. Der Missbrauch von Online-Werbenetzwerken stellt daher aktuell eine Bedrohung für viele Nutzer auf zahlreichenWebseiten dar.Werbenetzwerke übernehmen oft nicht die Verantwortung für den Missbrauch ihrer Plattformen und setzen außerdem unzulängliche Filtermethoden ein, um sogenannten „Malicious Code“ zu erkennen und zu entfernen. Die Verbreitung dieses Schadcodes über online Werbenetzwerke führt dazu dass betroffene Nutzer unbewusst und ungewollt auf Seiten weitergeleitet werden, die aufgrund von Exploit Kits Gefahren beinhalten. Diese analysieren das System des Nutzers, um Sicherheitslücken zu finden und schlussendlich ausnützen zu können. Sobald eine solche Schwachstelle gefunden wird, senden Exploit Kits Schadcode an den Nutzer. Dessen Ausführung am Client ermöglicht in weiterer Folge das das Herunterladen und Installieren von Malware. Die vorliegende Arbeit zielt darauf ab die Funktionalität von schädlicher Onlinewerbung zu analysieren. Dazu werden ausgewählte Webseiten hinsichtlich des genutzten Onlinewerbenetzwerkes untersucht wobei unter anderem der Einsatz von Fingerprinting Methoden evaluiert wird. Darüber hinaus wird ein Set an Exploit Kits in einer Testumgebung installiert wodurch sowohl der Quellcode als auch der Netzwerkverkehr zwischen Kit-Hoster und Honeypot- Clients analysiert wird. Die Ergebnisse der Untersuchung zeigen, dass die Identifikation von Schadwerbung eine massive Herausfordung für Wissenschaftler und Sicherheitsexperten darstellt. Diese ist insbesondere darauf zurückzuführen, dass Schadwerbe-Kampagnen meist nur für einige Tage aktiv sind und diverse Filter einsetzen, um Schadcode gezielt an gefährdete Webseiten- Besucher zu übermitteln. Exploit Kits sind hochentwickelte, automatisierte Systeme, die Schadsoftware an Internetuser übertragen indem sie deren Verwundbarkeiten gezielt ausnutzen. Es zeigt sich, dass Angriffspunkte insbesondere durch veraltete Software am Client entstehen. Aus diesem Grund ist es unumgänglich, dass User die Systeme und installierten Applikationen auf dem neuesten Stand halten. Nur durch dieses Vorgehen kann sich dieser vor Angriffen mittels Exploit Kits schützen.

Description (eng): Online advertising has become a billion dollar business in the last century. Nowadays most website publishers make use of online advertising networks in order to monetize user visits. However, online advertising has not only become very popular to legit website publishers - it has also attracted the attention of cyber criminals. When online advertising is misused it poses a real threat to many users on any website and online advertising networks mostly do not take responsibility by applying proper filtering methods. Cyber criminals distribute malicious code over online advertising networks (often referred to as malvertisement) which lead the victim to a different site. The user ultimately is redirected to an exploit kit landing page. This kit evaluates the victim’s system and tries to find a fitting exploit. Once an exploit is found, the malicious exploitation code is sent to the victim’s browser where it is then executed. Upon successful exploitation, a malicious payload is downloaded and often also installed on the client system without the knowledge of the victim. In order to understand the functionality of malvertisement this thesis aims to Therefore, several websites are crawled and their used online advertising networks are inspected. A second crawler is used to evaluate the usage of fingerprinting methods applied by either the website publisher or used ad networks. In addition, a set of exploit kits is installed in a testing environment in order to analyze the source code and inspect the generated network traffic between the kit hosting server and the honeypot client systems. The results show that the discovery of malvertisement poses a complex challenge to researchers and security specialists. Malvertisement campaigns are usually active for a few days only and contain several filters in order to distribute to real and vulnerable targets. Exploit kits are highly sophisticated and automated weapons that deliver malware to the victim by taking advantage of client side vulnerabilities. These vulnerabilities are mostly contained in out of date software. Because of these facts it is very important that every user keeps their system and installed applications up to date. This action is the best protection method against these kind of attacks.

Object languages: English

Date: 2016

Rights: © All rights reserved

Classification: Werbung; Exploit

Permanent Identifier