關於 3ve 殭屍網絡你需要知道的一切

已發表: 2021-07-08

現代廣告商必須處理的不僅僅是轉換潛在客戶,因為殭屍網絡和點擊欺詐的興起繼續影響廣告活動的成功。

殭屍網絡現在對大量的這些欺詐點擊負責。 近年來,3ve 殭屍網絡是有史以來最複雜的殭屍網絡操作之一。

它從 2013 年持續到 2018 年,感染了全球超過 170 萬台 PC,造成嚴重破壞並使廣告商損失數百萬美元。

但它是如何成為這樣一個全球困境的呢? 我們在這裡詳細介紹了它的興衰,並重點介紹了殭屍網絡造成的問題,並提供了有關如何保護您的業務的提示。

3ve 是如何被發現的

3ve熱圖

該殭屍網絡發音為eve,從 2013 年到 2018 年一直在運行,但直到 2016 年才被網絡安全專家 HUMAN(前身為 White Ops)發現。

在 Adob​​e、McAfee 和亞馬遜等組織的幫助下,該公司與穀歌和 FBI 合作打擊了欺詐團伙。

3ve 使用惡意軟件包 Boaxxe/Miuref 和 Kovter 用垃圾郵件和受感染的電子郵件附件感染 PC。

它是在調查Methbot網絡時被 HUMAN 首次發現的。 最初,3ve 似乎是一個標準的機器人農場,沒有什麼特別之處。

但在 2017 年,它的活動有所增長,每天產生數十億次廣告競價請求。 這是每天 3 到 120 億之間的任何地方。

發現的惡意軟件使用了反取證,這是一種逃避策略,惡意軟件會掃描 PC 的進程、硬件、用戶名和 IP 地址。 任何可以識別的東西。

圍繞這個問題,Google 和 HUMAN 逐漸揭開了 3ve 操作的全貌。 正如 Google 在其白皮書Hunt for 3ve 中所解釋的那樣

“阻止機器人操作的一種方法是將所有已知 IP 地址列入黑名單。 但是,由於該操作的激進性以及快速獲取新 IP 地址的能力,我們意識到黑名單只會暫時中斷 3ve 的活動。 為了永久取消它,我們需要了解 3ve 的結構和組織方式,我們必須確保操作員認為他們沒有被注意到,以便觀察他們並將我們的學習應用於未來的安全工作,我們需要擴大我們的努力超越 Google 和 [HUMAN]。”

谷歌開始構建合作夥伴基礎設施以結束 3ve。 但是在這樣做的同時,搜索巨頭必須確保殭屍網絡相信它仍然未被發現。

接下來是一項涉及主要組織的龐大任務,所有組織齊心協力摧毀可以說是歷史上最複雜的殭屍網絡。

3ve操作

3ve操作

3ve 以一種有趣的方式運作,它使用作為 Google AdSense 參與者的虛假和低質量網站。 然後它向廣告商出售虛假的優質流量。

它可以成功地偽造高級和有聲望的出版商的域名,讓廣告商更明智地被欺騙。

3ve 感染數万台 PC 的能力使其能夠對廣告進行大量非法點擊,這也是該公司的盈利方式。

正如穀歌在 The Hunt for 3vE 白皮書中指出的那樣:

“3ve 的運營商非常小心地試圖阻止廣告網絡注意到他們的非法活動。 例如,這就是為什麼 3ve 的惡意軟件僅在有機互聯網用戶很可能瀏覽 3ve 仿冒的相同優質網站的國家/地區完全執行,包括美國、加拿大和英國。 3ve 的受害者人數如下圖所示。”

這證明越成功,行動的規模就越大。

其操作員還能夠通過偽裝 3ve 的機器人來不斷逃避檢測。 因此,即使在其大量流量被列入黑名單之後,它們也可以在其他地方重新實現。

3ve 的運營商使用了各種策略來保持不被發現。 包括標籤規避,點擊廣告前模仿人類行為,以及快速再生住宅IP地址。

在巔峰時期,3ve 殭屍網絡:

  • 每天產生超過 30 億次出價請求
  • 洩露 100 萬個 IP
  • 感染超過 700,000 台 PC
  • 偽造 10,000 多個網站

3ve 是如何被下架的

聯邦調查局取締

谷歌、HUMAN 和 FBI 意識到該行動需要永久關閉,以便它不再繼續發展。

總共有 15 個主要的行業團體與 Google、Human 和 FBI 的互聯網犯罪投訴中心合作,終止了該行動。

幫助取締 3ve 的組織名單包括:

  • 土坯
  • 交易台
  • 亞馬遜
  • 誓言
  • 惡意軟件字節數
  • ESET
  • 證明點
  • 賽門鐵克
  • F-安全
  • 邁克菲
  • 趨勢科技
  • 國土安全部

借助協作智能係統,工作組花了數月時間觀察 3ve 的運行情況,以確定它是如何工作的。

合併後的組織能夠深入研究 3ve 以繪製其基礎架構、貨幣化策略和主要組成部分。

例如,邁克菲和其他反病毒專家努力了解 3ve 感染 PC 的惡意軟件。

這導致基礎設施的協調技術拆除,阻止運營商重建 3ve。

在 18 小時內,Google 報告 3ve 的出價請求流量接近 0%。

在調查結束時,美國司法部對 8 人發出了 13 份起訴書。 其中 6 名欺詐者來自俄羅斯,另外 2 名來自哈薩克斯坦。

司法部 2018 年 11 月的新聞稿《八名被告被起訴》披露了這些人的姓名並指出:

“今天在布魯克林聯邦法院開封的還有授權 FBI 控制 31 個互聯網域的扣押令,以及授權 FBI 從 89 台計算機服務器獲取信息的搜查令,這些都是從事數字廣告的殭屍網絡基礎設施的一部分。欺詐活動。 FBI 與私營部門合作夥伴合作,將互聯網流量重定向到域(稱為“sinkholing”的行動),以破壞和拆除這些殭屍網絡。”

指控是針對數千萬美元的數字廣告欺詐損失。

阻止 3ve 的結果無疑為廣告和科技行業敲響了警鐘,凸顯了在與在線欺詐者的鬥爭中保持積極主動的重要性。

保護您的廣告免受接下來的 3ve

保護你自己

不幸的是,儘管 3ve 可能已被刪除,但仍有許多其他活躍的殭屍網絡存在。

每個運行付費搜索、展示或視頻廣告的廣告商都面臨著從這些廣告欺詐計劃中蒙受損失的風險。

2019 年,Spamhaus(威脅情報組織)發布了其殭屍網絡威脅報告。 其調查結果顯示,為託管殭屍網絡而註冊的域名急劇增加。 與 2017 年的統計數據相比,這一增幅高達 100%。

正如我們的《2021 年全球點擊欺詐報告》所揭示的那樣,殭屍網絡仍然是最具破壞性的點擊欺詐形式。

這在很大程度上是一場貓捉老鼠的遊戲。 新的殭屍網絡一直在被發現。 例如,在 2021 年 3 月,發現了一個特定於 Windows 的殭屍網絡,並發現其規模不斷擴大。

稱為Purple Fox 惡意軟件,它使用網絡釣魚電子郵件和漏洞利用工具包來感染機器,並迅速從一台 PC 傳播到另一台 PC。 該惡意軟件的目標是使用弱密碼的面向互聯網的 Windows 計算機。

您在 Google 展示廣告網絡上投放的廣告越多,投放廣告的網站越多,花費的資金越多,您成為欺詐受害者的可能性就越大。

殭屍網絡運營商正在努力使他們的機器人盡可能與人類行為無法區分。

這使得在您的廣告活動中發現非法活動變得非常困難,更不用說阻止它發生了。

保持警惕很重要。 並使用最新的可用數據保護您的廣告活動和業務。 這可以讓您在阻止欺詐者方面取得巨大的領先優勢。

從 3ve 吸取的教訓

可悲的是,殭屍網絡仍然存在,正如 3ve 證明了這些操作在逃避檢測方面變得多麼複雜一樣。

來自全球主要參與者的數千人的全部勞動力才使網絡癱瘓。 谷歌、人類、聯邦調查局和許多其他機構的聯合力量,阻止非人類機器人的惡意軟件傳播行為。

從 3ve 吸取的經驗教訓有助於打擊欺詐者,並且肯定會有助於未來的調查。

但您也可以通過採取主動措施來保護您的廣告系列。 我們有一個免費的60,000+ 排除列表 用於阻止您的廣告在可疑網站和表現不佳的網站上展示的應用、渠道和網站。

將此添加到您的 Google Ads 帳戶中,您將立即排除欺詐者並提高您的流量質量。

這有助於保護您的品牌形象、避開不相關的網站、阻止非法點擊並提高您的投資回報率。

下載下面的完整排除列表。

下載排除列表