“廣告業(yè)的情況跟很多銀行業(yè)很像，一個(gè)不可避免的事實(shí)擺在廣告主眼前，那就是不能隨便相信廣告商提供給你的信息。”White Ops首席執(zhí)行官M(fèi)ichael Tiffany說(shuō)。“有時(shí)候，兩種cookies、用戶信息等都是相同的，但是只有一個(gè)是真的，其他的是假的。”

[[117834]]

當(dāng)然，Tiffany指的是通過(guò)感染實(shí)際消費(fèi)者或用戶的計(jì)算機(jī)來(lái)瞄準(zhǔn)廣告活動(dòng)的僵尸網(wǎng)絡(luò)帶來(lái)的真正的威脅。這是比竊取登錄憑證更有效的方法，同時(shí)還可以避開(kāi)異常檢測(cè)，但它也是一種更加危險(xiǎn)的方式。

“這是世界上最復(fù)雜的非政府發(fā)起的犯罪軟件，”Tiffany表示，“搶劫銀行的最好辦法不是直接進(jìn)去搶劫，而是攻擊其客戶的機(jī)器。然后在客戶登錄后開(kāi)始行動(dòng)。攻擊者采用的是網(wǎng)絡(luò)感知惡意軟件，它們會(huì)埋伏在一旁等待，直到有人使用個(gè)人資料信息來(lái)登陸。”

通過(guò)這些類(lèi)型的僵尸網(wǎng)絡(luò)，攻擊者有兩種方法來(lái)攻擊合法機(jī)器。其中一種是后臺(tái)進(jìn)程，在機(jī)器開(kāi)啟時(shí)瀏覽所有內(nèi)容，并通過(guò)利用用戶的cookie來(lái)有效地偽裝成用戶。

第二種方法比較復(fù)雜，是通過(guò)“瀏覽器中間人”的做法，這甚至根本不是在后臺(tái)，而是在你實(shí)際的瀏覽器上；這種惡意軟件會(huì)注入更多廣告到你的合法瀏覽會(huì)話中。

“這種情況，在我看來(lái)，我正在流量CNN.com，”Tiffany表示，“但從廣告服務(wù)器和網(wǎng)絡(luò)來(lái)看，我正在瀏覽有很多廣告的其他網(wǎng)站。”

當(dāng)然，通過(guò)僵尸機(jī)器模仿人類(lèi)訪客，并獲得數(shù)十億次廣告展示，這最終會(huì)讓廣告商花費(fèi)數(shù)百萬(wàn)美元，并完全破壞網(wǎng)絡(luò)指標(biāo)的準(zhǔn)確性。事實(shí)上，不僅這種欺詐活動(dòng)不會(huì)被減少，企業(yè)還會(huì)花費(fèi)更多錢(qián)來(lái)瞄準(zhǔn)僵尸機(jī)器，而產(chǎn)生更高的開(kāi)銷(xiāo)。Tiffany舉例說(shuō)，僵尸機(jī)器不只是帶來(lái)10美分的每千人成本(CPM)，而是10美元的CPM。由于僵尸網(wǎng)絡(luò)的傳播性質(zhì)，最終將會(huì)扭曲互聯(lián)網(wǎng)上的所有數(shù)據(jù)。

“很少有人根據(jù)廣告來(lái)采取實(shí)際的行動(dòng)，”Tiffany表示，“在攻擊者采取行動(dòng)之前，你通常會(huì)展示數(shù)千次廣告，你很難判斷攻擊者將這個(gè)數(shù)字提高了50%。”

那么，這種類(lèi)型的僵尸網(wǎng)絡(luò)已經(jīng)存在多久了呢?更重要的是，它們是在增加還是減少?

“我希望我能知道!”Tiffany表示，“我們沒(méi)有縱向的數(shù)據(jù)，但有趣的是，在過(guò)去幾年，我覺(jué)得情況變得越來(lái)越糟糕，因?yàn)閏ookie有點(diǎn)像身份驗(yàn)證機(jī)制。”

存在的問(wèn)題是，使用異常行為來(lái)嗅探僵尸網(wǎng)絡(luò)的傳統(tǒng)做法已經(jīng)行不通，因?yàn)榻┦髁縼?lái)自已知合法的用戶。

“cookie正變得越來(lái)越受信任，欺詐檢測(cè)通常面對(duì)的是大數(shù)據(jù)[注]，通常是異常檢查，”Tiffany表示，“當(dāng)僵尸網(wǎng)絡(luò)能夠獲得每個(gè)用戶的信息，這是他們的制勝關(guān)鍵。”

不過(guò)，我們?nèi)匀挥邢Ｍ?，雖然對(duì)付這種復(fù)雜的方法會(huì)非常棘手，但并不是不可能。我們可以通過(guò)查看網(wǎng)絡(luò)流量和區(qū)分人類(lèi)網(wǎng)絡(luò)流量和受遠(yuǎn)程控制的瀏覽器來(lái)檢測(cè)瀏覽器中間人惡意軟件。

“瀏覽器是非常復(fù)雜的操作環(huán)節(jié)，并且有一個(gè)運(yùn)行時(shí)引擎(運(yùn)行以JavaScript編寫(xiě)的軟件)來(lái)與硬件交互，”Tiffany說(shuō)道，“另外，還有DOM(文檔對(duì)象模型)包含與瀏覽器硬件環(huán)境相關(guān)的所有方法和對(duì)象。”Tiffany及其團(tuán)隊(duì)發(fā)現(xiàn)，無(wú)論什么時(shí)候在指令集和DOM之間構(gòu)建了可編程連接，他們都會(huì)發(fā)現(xiàn)事情朝相反方向發(fā)展。

“如果你在DOM，我們會(huì)發(fā)現(xiàn)可編程連接在環(huán)境的這個(gè)部分，”Tiffany稱(chēng)，“這會(huì)使JavaScript運(yùn)行時(shí)環(huán)境會(huì)不同。”

檢測(cè)這些差異的技術(shù)并不一定要是靜態(tài)的，因?yàn)楫?dāng)受遠(yuǎn)程控制時(shí)，環(huán)境可以通過(guò)很多微妙的方式被改變。“我們有非常龐大的參數(shù)庫(kù)，我們可以快速替換檢測(cè)技術(shù)。”

并且這是公開(kāi)進(jìn)行，但是系統(tǒng)不會(huì)泄漏任何成功/失敗信息返回給攻擊者。無(wú)論攻擊者的嘗試成功還是失敗，無(wú)論他們有沒(méi)有得到錢(qián)，他們都必須再來(lái)一回才知道他們第一回是否成功。

“他們可以看到我們的服務(wù)器，他們知道我們參與其中，但他們不知道他們是否成功或者是否欺騙到我們，”Tiffany表示，“大家都知道，瀏覽器中有很多攻擊面，我們可以利用這個(gè)特性來(lái)對(duì)付攻擊者：如果我們不能保護(hù)它，他們也不能。”

這最終會(huì)破壞攻擊者的經(jīng)濟(jì)業(yè)務(wù)模式。

“如果你讓計(jì)算機(jī)每天查看廣告，任何計(jì)算機(jī)都會(huì)開(kāi)始耗錢(qián)，”Tiffany稱(chēng)，“如果我們切斷這個(gè)模式中制造的錢(qián)，這將會(huì)導(dǎo)致黑市生態(tài)系統(tǒng)花費(fèi)很多錢(qián)。”

最終，攻擊者需要花很多錢(qián)才能成功發(fā)起攻擊，而檢測(cè)僵尸網(wǎng)絡(luò)則不會(huì)是昂貴的過(guò)程。

“如果我們的檢測(cè)成本低于攻擊者的成本，這將讓我們贏得這場(chǎng)戰(zhàn)斗。”(鄒錚編譯)