关于 3ve 僵尸网络你需要知道的一切

已发表: 2021-07-08

现代广告商必须处理的不仅仅是转换潜在客户,因为僵尸网络和点击欺诈的兴起继续影响广告活动的成功。

僵尸网络现在对大量的这些欺诈点击负责。 近年来,3ve 僵尸网络是有史以来最复杂的僵尸网络操作之一。

它从 2013 年持续到 2018 年,感染了全球超过 170 万台 PC,造成严重破坏并使广告商损失数百万美元。

但它是如何成为这样一个全球困境的呢? 我们在这里详细介绍了它的兴衰,并重点介绍了僵尸网络造成的问题,并提供了有关如何保护您的业务的提示。

3ve 是如何被发现的

3ve热图

该僵尸网络发音为eve,从 2013 年到 2018 年一直在运行,但直到 2016 年才被网络安全专家 HUMAN(前身为 White Ops)发现。

在 Adob​​e、McAfee 和亚马逊等组织的帮助下,该公司与谷歌和 FBI 合作打击了欺诈团伙。

3ve 使用恶意软件包 Boaxxe/Miuref 和 Kovter 用垃圾邮件和受感染的电子邮件附件感染 PC。

它是在调查Methbot网络时被 HUMAN 首次发现的。 最初,3ve 似乎是一个标准的机器人农场,没有什么特别之处。

但在 2017 年,它的活动有所增长,每天产生数十亿次广告竞价请求。 这是每天 3 到 120 亿之间的任何地方。

发现的恶意软件使用了反取证,这是一种逃避策略,恶意软件会扫描 PC 的进程、硬件、用户名和 IP 地址。 任何可以识别的东西。

围绕这个问题,Google 和 HUMAN 逐渐揭开了 3ve 操作的全貌。 正如 Google 在其白皮书Hunt for 3ve 中所解释的那样

“阻止机器人操作的一种方法是将所有已知 IP 地址列入黑名单。 但是,由于该操作的激进性以及快速获取新 IP 地址的能力,我们意识到黑名单只会暂时中断 3ve 的活动。 为了永久取消它,我们需要了解 3ve 的结构和组织方式,我们必须确保操作员认为他们没有被注意到,以便观察他们并将我们的学习应用于未来的安全工作,我们需要扩大我们的努力超越 Google 和 [HUMAN]。”

谷歌开始构建合作伙伴基础设施以结束 3ve。 但是在这样做的同时,搜索巨头必须确保僵尸网络相信它仍然未被发现。

接下来是一项涉及主要组织的庞大任务,所有组织齐心协力摧毁可以说是历史上最复杂的僵尸网络。

3ve操作

3ve操作

3ve 以一种有趣的方式运作,它使用作为 Google AdSense 参与者的虚假和低质量网站。 然后它向广告商出售虚假的优质流量。

它可以成功地伪造高级和有声望的出版商的域名,让广告商更明智地被欺骗。

3ve 感染数万台 PC 的能力使其能够对广告进行大量非法点击,这也是该公司的盈利方式。

正如谷歌在 The Hunt for 3vE 白皮书中指出的那样:

“3ve 的运营商非常小心地试图阻止广告网络注意到他们的非法活动。 例如,这就是为什么 3ve 的恶意软件仅在有机互联网用户很可能浏览 3ve 仿冒的相同优质网站的国家/地区完全执行,包括美国、加拿大和英国。 3ve 的受害者人数如下图所示。”

这证明越成功,行动的规模就越大。

其操作员还能够通过伪装 3ve 的机器人来不断逃避检测。 因此,即使在其大量流量被列入黑名单之后,它们也可以在其他地方重新实现。

3ve 的运营商使用了各种策略来保持不被发现。 包括标签规避,点击广告前模仿人类行为,以及快速再生住宅IP地址。

在巅峰时期,3ve 僵尸网络:

  • 每天产生超过 30 亿次出价请求
  • 泄露 100 万个 IP
  • 感染超过 700,000 台 PC
  • 伪造 10,000 多个网站

3ve 是如何被下架的

联邦调查局取缔

谷歌、HUMAN 和 FBI 意识到该行动需要永久关闭,以便它不再继续发展。

总共有 15 个主要的行业团体与 Google、Human 和 FBI 的互联网犯罪投诉中心合作,终止了该行动。

帮助取缔 3ve 的组织名单包括:

  • 土坯
  • 交易台
  • 亚马逊
  • 誓言
  • 恶意软件字节数
  • ESET
  • 证明点
  • 赛门铁克
  • F-安全
  • 迈克菲
  • 趋势科技
  • 国土安全部

借助协作智能系统,工作组花了数月时间观察 3ve 的运行情况,以确定它是如何工作的。

合并后的组织能够深入研究 3ve 以绘制其基础架构、货币化策略和主要组成部分。

例如,迈克菲和其他反病毒专家努力了解 3ve 感染 PC 的恶意软件。

这导致基础设施的协调技术拆除,阻止运营商重建 3ve。

在 18 小时内,Google 报告 3ve 的出价请求流量接近 0%。

在调查结束时,美国司法部对 8 人发出了 13 份起诉书。 其中 6 名欺诈者来自俄罗斯,另外 2 名来自哈萨克斯坦。

司法部 2018 年 11 月的新闻稿《八名被告被起诉》披露了这些人的姓名并指出:

“今天在布鲁克林联邦法院开封的还有授权 FBI 控制 31 个互联网域的扣押令,以及授权 FBI 从 89 台计算机服务器获取信息的搜查令,这些都是从事数字广告的僵尸网络基础设施的一部分。欺诈活动。 FBI 与私营部门合作伙伴合作,将互联网流量重定向到域(称为“sinkholing”的行动),以破坏和拆除这些僵尸网络。”

指控是针对数千万美元的数字广告欺诈损失。

阻止 3ve 的结果无疑为广告和科技行业敲响了警钟,凸显了在与在线欺诈者的斗争中保持积极主动的重要性。

保护您的广告免受接下来的 3ve

保护你自己

不幸的是,尽管 3ve 可能已被删除,但仍有许多其他活跃的僵尸网络存在。

每个运行付费搜索、展示或视频广告的广告商都面临着从这些广告欺诈计划中蒙受损失的风险。

2019 年,Spamhaus(威胁情报组织)发布了其僵尸网络威胁报告。 其调查结果显示,为托管僵尸网络而注册的域名急剧增加。 与 2017 年的统计数据相比,这一增幅高达 100%。

正如我们的《2021 年全球点击欺诈报告》所揭示的那样,僵尸网络仍然是最具破坏性的点击欺诈形式。

这在很大程度上是一场猫捉老鼠的游戏。 新的僵尸网络一直在被发现。 例如,在 2021 年 3 月,发现了一个特定于 Windows 的僵尸网络,并发现其规模不断扩大。

称为Purple Fox 恶意软件,它使用网络钓鱼电子邮件和漏洞利用工具包来感染机器,并迅速从一台 PC 传播到另一台 PC。 该恶意软件的目标是使用弱密码的面向互联网的 Windows 计算机。

您在 Google 展示广告网络上投放的广告越多,投放广告的网站越多,花费的资金越多,您成为欺诈受害者的可能性就越大。

僵尸网络运营商正在努力使他们的机器人尽可能与人类行为无法区分。

这使得在您的广告活动中发现非法活动变得非常困难,更不用说阻止它发生了。

保持警惕很重要。 并使用最新的可用数据保护您的广告活动和业务。 这可以让您在阻止欺诈者方面取得巨大的领先优势。

从 3ve 吸取的教训

可悲的是,僵尸网络仍然存在,正如 3ve 证明了这些操作在逃避检测方面变得多么复杂一样。

来自全球主要参与者的数千人的全部劳动力才使网络瘫痪。 谷歌、人类、联邦调查局和许多其他机构的联合力量,阻止非人类机器人的恶意软件传播行为。

从 3ve 吸取的经验教训有助于打击欺诈者,并且肯定会有助于未来的调查。

但您也可以通过采取主动措施来保护您的广告系列。 我们有一个免费的60,000+ 排除列表 用于阻止您的广告在可疑网站和表现不佳的网站上展示的应用、渠道和网站。

将此添加到您的 Google Ads 帐户中,您将立即排除欺诈者并提高您的流量质量。

这有助于保护您的品牌形象、避开不相关的网站、阻止非法点击并提高您的投资回报率。

下载下面的完整排除列表。

下载排除列表