3veボットネットについて知っておくべきことすべて

公開: 2021-07-08

ボットネットの台頭とクリック詐欺が広告キャンペーンの成功に影響を与え続けているため、現代の広告主は単に見込み客を変えるだけではなく、はるかに多くのことに対処する必要があります

ボットネットは現在、これらの不正なクリックの大量の原因となっています。 そして近年、3veボットネットはこれまでに見られた中で最も洗練されたボットネット操作の1つでした。

2013年から2018年にかけて実行され、世界中で170万台を超えるPCに感染し、大混乱を引き起こし、広告主に数百万のコストをかけました。

しかし、それはどのようにしてそのような世界的なジレンマになったのでしょうか? ここでは、その上昇と下降について詳しく説明し、ボットネットが引き起こす問題に焦点を当て、ビジネスを保護するためのヒントを紹介します。

3veがどのように発見されたか

3veヒートマップ

ボットネットは前夜と発音され、2013年から2018年まで運用されていましたが、サイバーセキュリティのスペシャリストであるHUMAN(以前のWhite Ops)によって2016年に発見されました。

同社は、アドビ、マカフィー、アマゾンなどの組織からの貢献により、グーグルやFBIと協力して詐欺の輪を取り除いた。

3veは、マルウェアパッケージBoaxxe / MiurefおよびKovterを使用して、PCをスパムメールおよび感染したメールの添付ファイルに感染させました。

Methbotネットワークが調査中であったときに、それはHUMANによって最初に検出されました。 当初、3veは標準的なボットファームのようで、独自のものは何もありませんでした。

しかし、2017年にはその活動が拡大し、毎日何十億もの広告入札リクエストが発生していました。 これは毎日30億から120億の間のどこかでした。

発見されたマルウェアは、マルウェアがPCのプロセス、ハードウェア、ユーザー名、およびIPアドレスのスキャンを実行する回避戦術であるアンチフォレンジックを使用していました。 それを識別可能にするものなら何でも。

その問題を回避すると、GoogleとHUMANは徐々に3ve操作のフルスケールを明らかにしました。 Googleがホワイトペーパーで説明したように、 Hunt for 3ve

「ボットの操作を停止する1つの方法は、既知のIPアドレスをすべてブラックリストに登録することです。 ただし、操作の積極性と、新しいIPアドレスを迅速に取得する機能により、ブラックリストは3veのアクティビティを一時的に中断するだけであることがわかりました。 それを永久に停止するには、3veがどのように構造化および編成されているかを理解する必要があり、オペレーターがそれらを観察して将来のセキュリティの取り組みに適用するために、彼らが気づかれていないと思っていることを確認する必要があり、取り組みを拡大する必要がありましたGoogleと[HUMAN]を超えて。」

Googleは、3veに終止符を打つためにパートナーのインフラストラクチャの構築を開始しました。 しかし、そうしている間、検索の巨人はボットネットがまだ検出されていないと信じていることを確認する必要がありました。

その後に続いたのは、歴史上最も洗練されたボットネットを破壊するためにすべてが協力して取り組んでいる主要な組織が関与する巨大な事業でした。

3番目の操作

3ve操作

3veは興味深い方法で運営され、GoogleAdSenseの参加者である偽の低品質のWebサイトを使用しました。 次に、偽のプレミアムトラフィックを広告主に販売しました。

それは、高ランクで一流の出版社のドメインをうまく偽造することができ、広告主に彼らがだまされた賢明さを残しません。

何万台ものPCに感染する3veの機能により、広告に大量の不正なクリックを作成することができました。これが、このオペレーションが収益を上げた方法です。

GoogleがTheHunt for 3vEホワイトペーパーで述べたように:

「3veのオペレーターは、広告ネットワークが彼らの違法行為に気付かないように細心の注意を払いました。 これが、たとえば、3veのマルウェアが、米国、カナダ、英国など、3veが偽造しているのと同じプレミアムサイトをオーガニックインターネットユーザーが閲覧している可能性が高い国でのみ完全に実行される理由です。 3veの犠牲者人口は下の図に示されています。」

これが成功すればするほど、操作はよりスケールアップされました。

そのオペレーターは、3veのボットを偽装することで、常に検出を​​回避することができました。 そのため、トラフィックのチャンクがブラックリストに登録された後でも、別の場所で再実体化する可能性があります。

3veのオペレーターは、さまざまな戦術を使用して、検出されないようにしました。 タグの回避、広告をクリックする前の人間の行動の模倣、住宅のIPアドレスの迅速な再生成などが含まれます。

ピーク時には、3veボットネット:

  • 1日あたり30億を超える入札リクエストが生成されました
  • 侵害された100万のIP
  • 700,000台以上のPCに感染
  • 偽造された10,000以上のWebサイト

3veがどのように削除されたか

fbiの削除

グーグル、ヒューマン、そしてFBIは、それがもはや進化し続けないように、操作を永久にシャットダウンする必要があることに気づきました。

合計で、15の主要な業界関係者がGoogle、Human、およびFBIのインターネット犯罪苦情センターと協力して業務を停止しました。

3veの削除に貢献した組織のリストは次のとおりです。

  • アドビ
  • トレードデスク
  • アマゾン
  • 誓い
  • Malwarebytes
  • ESET
  • Proofpoint
  • ノートンライフロック
  • F-Secure
  • マカフィー
  • トレンドマイクロ
  • 国土安全保障省

コラボレーションインテリジェンスのシステムを使用して、ワーキンググループは3veの動作を観察し、それがどのように機能するかを判断するために数か月を費やしました。

統合された組織は、インフラストラクチャ、収益化戦略、および主要コンポーネントをマッピングするために3veを詳細に調査することができました。

たとえば、マカフィーやその他のウイルス対策スペシャリストは、3veがPCに感染しているマルウェアを理解するために取り組みました。

これにより、インフラストラクチャの技術的な削除が調整され、オペレーターが3veを再構築できなくなりました。

18時間以内に、Googleは3veの入札リクエストトラフィックを0%に近いと報告していました。

調査の終わりに、米国司法省は8人の個人に対して13件の起訴状を発行しました。 これらの詐欺師のうち6人はロシア出身で、他の2人はカザフスタン出身です。

司法省の2018年11月のプレスリリース8人の被告が起訴され、個人の名前が明らかになり、次のように述べられました。

「また、ブルックリンの連邦裁判所で本日開封されたのは、FBIが31のインターネットドメインを管理することを許可する押収令状と、デジタル広告に従事するボットネットのインフラストラクチャの一部である89のコンピューターサーバーから情報を取得することをFBIに許可する検索令状でした。詐欺行為。 FBIは、民間セクターのパートナーと協力して、これらのボットネットを破壊および解体するために、ドメインに向かうインターネットトラフィックをリダイレクトしました(「シンクホール」と呼ばれるアクション)。」

告発は、デジタル広告詐欺で数千万ドルを失ったことに対するものでした。

3veを停止した結果は確かに、広告業界とテクノロジー業界に目覚めの呼びかけをもたらし、オンライン詐欺師との戦いに積極的に取り組むことが重要である理由を浮き彫りにしました。

次の3veからあなたの広告を保護します

自身を守る

残念ながら、3veは削除された可能性がありますが、他にもアクティブなボットネットがたくさんあります。

そして、有料の検索、ディスプレイ、またはビデオ広告を実行するすべての広告主は、これらの広告詐欺スキームからお金を失うリスクがあります。

2019年、Spamhaus(脅威インテリジェンス組織)はボットネット脅威レポートをリリースしました。 その調査結果は、ホストボットネットに登録されたドメイン名の劇的な増加を示しました。 増加は2017年の統計で100%増加しました。

そして、私たちのグローバルクリック詐欺レポート2021が明らかにしたように、ボットネットは依然としてクリック詐欺の最も有害な形態です。

いたちごっこです。 新しいボットネットは常に発見されています。 たとえば、2021年3月に、Windows固有のボットネットが発掘され、サイズが膨らんでいることが判明しました。

Purple Foxマルウェアと呼ばれるこのマルウェアは、フィッシングメールとエクスプロイトキットを使用してマシンに感染し、あるPCから次のPCにすばやく拡散します。 このマルウェアは、弱いパスワードを使用するインターネットに直接接続されたWindowsコンピューターを標的としています。

Googleディスプレイネットワークに掲載する広告が多ければ多いほど、広告を掲載するウェブサイトが増え、お金を使うほど、詐欺の被害に遭う可能性が高くなります。

ボットネットのオペレーターは、ボットを人間の行動とできるだけ区別できないようにするために懸命に取り組んでいます。

そのため、広告キャンペーンで不正な活動を見つけることさえ非常に困難になります。ましてや、それが起こらないようにすることもできません。

警戒することが重要です。 そして、利用可能な最新のデータで広告キャンペーンとビジネスを保護します。 それはあなたに詐欺師を阻止することにおいてあなたに大規模な有利なスタートを与えることができます。

3veから学んだ教訓

悲しいことに、ボットネットはここにとどまります。ちょうど3veが、検出を回避するための操作がいかに洗練されているかを証明したのと同じです。

ネットワークを停止するには、主要なグローバルプレーヤーから数千人の従業員全員が必要でした。 グーグル、ヒューマン、FBI、および他の多くの力を組み合わせて、人間以外のボットのマルウェア拡散アクションを阻止します。

3veから学んだ教訓は、詐欺師との戦いに役立ち、将来の調査にも役立つはずです。

ただし、事前対策を講じることで広告キャンペーンを保護することもできます。 60,000以上の無料の除外リストがあります 疑わしいウェブサイトやパフォーマンスの低いウェブサイトに広告が表示されないようにするアプリ、チャネル、ウェブサイトの場合。

これをGoogle広告アカウントに追加すると、すぐに詐欺師を排除し、トラフィックの品質を向上させることができます。

これにより、ブランドイメージを保護し、無関係なWebサイトを回避し、不正なクリックを阻止し、ROIを向上させることができます。

以下の完全な除外リストをダウンロードしてください。

除外リストをダウンロードする