BlackTDS: 悪意のあるサービスとしてのトラフィック配信ネットワーク

時々あった, 少し前, エクスプロイトキットがさまざまな種類の悪意のあるキャンペーンでハッカーによって広く展開されたとき. でも, ブラウザの改善と他のいくつかのセキュリティに焦点を当てた要因, EKの使用は減少し始めました, そして他の何かが彼らの代わりに這いました. 実際には, TDSまたはトラフィック配信システムは、エクスプロイトキットの重要なコンポーネントです。.

AnglerやNuclearなどの有名なEKには、通常、TDSが含まれていました。, ゲートまたは指紋認証システムとも呼ばれます. これらは、ユーザーが特定のページにアクセスしてマルウェアに感染するトラフィックをフィルタリングするために使用されました。.

NuclearEKを取りましょう, これは、サイバー犯罪者やランサムウェアの作成者が好むサービスとしてのマルウェアツールの1つでした。. Nuclear EKは、Lockyランサムウェアの拡散に使用されました – 過去数年間で最も蔓延し、破壊的な暗号ウイルスの1つ. でも, 核活動は4月末にかなりの減少を見ました, と複数のリソースによると, エクスプロイトキットのインフラストラクチャは完全に凍結されていました 2016.

そうは言っても, Proofpointのセキュリティ研究者は、吹き替えの新しいトラフィック配信システムをフォローしています BlackTDS さまざまなマルウェアの配布に展開されます.

BlackTDSとは? 技術的な説明

すぐに言った, BlackTDS は、12月末からアンダーグラウンドマーケットでサービスを宣伝している多機能TDSツールです。 2017, 研究チームが指摘したように.

この交通分配システムは、利害関係者に多くのサービスを提供します. これらのサービスはクラウドTDSと呼ばれます. オペレーターによると, Cloud TDSパッケージは、ソーシャルエンジニアリングと、EKへのリダイレクトを処理しながら、研究者やサンドボックスによる検出を回避できます。. 加えて, BlackTDS HTTPS経由でレピュテーションがクリーンな新しいドメインにもアクセスできます, 研究者は報告した.

正確なサービス BlackTDS 提供する必要があるのは、以下で共有されるフォーラム広告に表示されます:

からの非悪用サーバーに基づくアンチボットtdsのクローキング $3 仕事の1日あたり. トラフィックを受信するために独自のサーバーは必要ありません. エクスプロイトパックを操作するためのAPIと、インストールを取得するためのトラフィックを処理するための独自のソリューション (FakeLandings). ダークウェブトラフィックの既製ソリューション. に配置 1 非表示のコードをクリックして、ランディングでjsのインジェクションを使用します, ハッキングされたWebサイトを含む。」
"料金 – $6 1日あたり, $45 あたり 10 日々, $90 月額, 私たちのサーバー上の無料の場所, 緑のhttpsであなたのファイルの無料ホスティング:// ドメイン. 3 DAYSFREETEST」
* 不正使用のないサーバー上のCloudAntibotトラフィック管理システム
* 株式のバンドルを操作するためのAPIと、インストールを取得するためのトラフィックを処理するためのカスタムソリューション (Faklendings). 緑のhttpsにファイルを配置する: // ドメイン
* に配置 1 非表示のコードをクリックして、シェルを含むすべてのランディングでjsのインジェクションを使用します
休暇中に追加したもの:
* 組み込みモードIframe (少し道徳的に時代遅れ, しかし尋ねた – やった).
* 偽のMirosoftアップデート (ページを壊す).
* フェイクアップデートJavとフェイクアップデートフラッシュ (ページが壊れない, 元のコンテンツが表示されます).
* 個人アカウントからサーバーへのファイルのアップロード.
* 偽のウィンドウの出現の遅延を設定します.
* ウィンドウ領域をクリックすると自動ダウンロード.
* からBlackおよびGeoデータベースを更新する 13.01.18.
* からのダウンロードを突破することによって増加しました 6%-12% に 10%-30%.
* ファイルをダウンロードしたユーザーに関する詳細な統計を追加しました.
* 偽物の自動起動ファイル.
そしてこれは休日だけです! 私たちは働き続けます. あなたのサービスでのクラウドTDS.

BlackTDSが使用するトラフィックはどこから来ていますか?

どうやら, 脅威の作成者はトラフィックを BlackTDS スパムや マルバタイジング. それから彼らは「選択したマルウェアまたはEKAPIを設定します, 次に、サービスがドライブバイを介してマルウェア配布の他のすべての側面を処理できるようにします」.

セキュリティ研究者は観察してきました BlackTDS 野生の感染チェーン, ソーシャルエンジニアリングのトリックや偽のソフトウェアアップデートを通じてマルウェアを配信する. 言及する価値があるのは、 BlackTDS サイトは研究者にとってそれほど難しくありませんでした, トラフィックを既知の脅威アクターに関連付けることは、非常に困難であり、さらには困難でした。.

2月19日, 2018, セキュリティ研究者は特定のスパムキャンペーンに気づきました, 大規模に展開, 関係するチェーンへのリンクを含むPDF添付ファイルがありました BlackTDS. ディスカウント医薬品を販売するウェブサイトで運営を終了. この脅威アクター, TA5O5として識別され、ランサムウェアとバンキング型トロイの木馬が非常に大規模に拡散していました.

最後に, 多くの研究者は現在、「バンドルされた」悪意のあるサービスを「サービスとして」と呼んでいます。, 同じルールがトラフィック配信ネットワークにも適用されます. TDSの場合, 高度なドライブバイ操作のコンポーネントのホスティングや構成などのサービスが含まれています.

はどうかと言うと BlackTDS 特に, 「低コスト, アクセスのしやすさ, と比較的匿名性 BlackTDS Webベースのマルウェア配布への参入障壁を減らす」. それに加えて, ネットワークには、ソーシャルエンジニアリングの完全なサポートと、マルウェアを直接配信したり、被害者をエクスプロイトキットのランディングページにリダイレクトしたりするオプションが付属しています。. 全体として, このトラフィック配信ネットワークは、ある程度の進歩を示しています, エクスプロイトキットの減少にもかかわらず.

Webベースの攻撃はどこにも行きません, と BlackTDS 証拠です.