منوی کناری
تبلیغ افزار Dealply از سرویس SmartScreen مایکروسافت برای در امان نگه داشتن خود بهره می‌برد
آگوست 6, 2017 0

محققان امنیتی نوع جدیدی از تبلیغ افزار Dealply را کشف کردند که از یک روش تازه برای جلوگیری از شناسایی توسط سرویس شناسایی توسعه داده شده توسط صفحه هوشمند (SmartScreen) مایکروسافت و نرم‌افزار WebAdvisor مک‌آفی سوءاستفاده می‌کند.

Dealply یک تبلیغ افزار است که به طور معمول برای نمایش تبلیغات، افزونه‌هایی بر روی مرورگر قربانی نصب می‌کند و بر طبق گفته گروه تحقیقاتی enSilo که این مشکل جدید را کشف کرده‌اند، این تبلیغ افزار همچنین دارای کد مدولار، انگشت نگاری ماشینی، تکنیک‌های تشخیص vm و زیرساخت‌های C&C (فرماندهی و کنترل) قوی می‌باشد.

به گفته تتیم تحقیقاتی enSilo احتمال داده می‌شود که استفاده این تبلیغ افزار از این سرویس‌های معتبر ممکن است در آینده سایت‌های بارگذاری شده را به خطر بیاندازد و آن‌ها را آلوده کند.

SmartScreen که با عنوان صفحه هوشمند ویندوز دیفندر (Windows Defender SmartScreen) شناخته می‌شود، با هدف هشدار به کاربران ویندوز هنگام بازید از دامنه‌های مخرب که قبلاً در حملات نرم‌افزاری و فیشنیگ و یا هنگام دانلود برنامه‌های مخرب مورد استفاده قرار گرفته‌اند، طراحی شده است.

اگر یک کاربر ویندوز سعی کند که به یک دامنه یا برنامه مخرب دسترسی پیدا کند، یک اخطار نشان داده می‌شود که باید با احتیاط عمل کند.

DealPly برای جلوگیری از قرار گرفتن در لیست سیاه مایکروسافت (زمانی که از لیست های معتبر خود استفاده می‌کند) از ماشین‌هایی استفاده می‌کند که قادر به آلوده کردن این لیست‌ها هستند.

ماژول تبلیغ افزار SmartScreen یک درخواست خالی به سرور ارسال می‌کند تا درباره دامنه هش شده و آدرس URL، اطلاع پیدا کند. Dealply نیز با دستکاری پاسخی که قرار است به این درخواست داده شود، خود را از لیست سیاه خارج می‌کند.

همچنین اطلاعات جمع آوری شده به سرور Dealply ‌ارسال می‌شود تا آن ها از دامنه‌ها و یا نصب کننده‌هایی که توسط SmartScreen به عنوان عامل مخرب شناسایی می‌شوند، اطلاع پیدا کنند و با کنار هم قرار دادن این اطلاعات بتوانند SmartScreen را مهندسی معکوس کرده و مکانیزمی شبیه آن طراحی کنند.

سرویس شناسایی اعتبار تبلیغات مک‌آفی (McAfee) یک ابزار رایگان است که سطح ایمنی وب سایت‌ها را با استفاد از اطلاعات جمع آوری شده توسط  خزنده وب (Web Crawler) خودش که شامل بررسی اسپم‌ها و محتوای مخرب است، ردیابی و گزارش می‌کند.

این روش با بررسی اینکه آیا نسخه خاصی از شناساگر تبلیغ روی سایت نصب شده یا نه، شروع می‌شود، و اگر وجود داشته باشد، تلاش می‌کند تا از آن پرس‌و‌جو کند.

DealPly با استفاده از آدرس اینترنتی ( https://webadvisorc.rest.gti.mcafee.com/1 ) درخواستی را به سرویس شناساگر ارسال می‌کند و ارزش اعتبار دامنه بررسی شده را از پاسخ دریافتی استخراج می‌کند و این اطلاعات به سرور‌هایش تحویل داده می‌شود تا خود را با اطلاعاتی که شامل دامنه‌ها و نصب کننده‌های نا‌امن شناسایی شده است، به‌روز کند.

به کمک این اطلاعات نصب کننده تبلیغ افزار‌ها عمر طولانی‌تری می‌کنند و زمانی که به لیست سیاه این سرویس‌ها دسترسی داشته باشند، می‌توانند در صورت لزوم با تغییر دادن خود، از این لیست سیاه خارج شوند.

پیام بگذارید