CSE CybSec ZLab 实验室的研究人员近期发现了一个大规模的恶意广告攻击活动，他们已将其定义为EvilTraffic，即恶意流量的意思。研究人员发现，EvilTraffic利用一些CMS漏洞上传和执行任意PHP页面，从而通过广告为自己谋利。在2017年的年末，CSE Cybsec ZLab的研究人员就观察到这一活动。

研究人员发现，此次EvilTraffic活动所选择的攻击网站都是使用各种版本的WordPress CMS网站。一旦网站被攻击，攻击者将上传一个包含恶意文件的“zip”文件。虽然“zip”文件的名称会因攻击的设备而异，但是在未压缩时，这些“zip”文件所包含的恶意文件都具有相同的结构。不过目前，在研究人员发现的“zip”文件样本中，还有一些没有被使用。这样，研究人员就可以对它们进行深入的分析。

比如，研究人员所发现的一个恶意文件，它会在各CMS版本中被包含在不同的文件夹中，比如“vomiu”, “blsnxw”, “yrpowe”, “hkfoeyw”, “aqkei”, “xbiret”, “slvkty”。

在这个文件夹下有：

1.一个名为“lerbim.php”的php文件;
2.一个php文件，与父目录具有相同的名称，它最初只有“.suspected”扩展名，只有在第二次使用“lerbim.php”文件的时候才会在“.php”文件中被修改;
3.两个名为“wtuds”和“sotpie”的目录，包含一系列文件。

下图就是该文件的一个结构示意：

EvilTraffic活动中使用的恶意软件的主要目的是：通过至少两台产生广告流量的服务器触发重定向链，“{malw_name} .php”是触发攻击的核心文件，如果用户通过网页浏览器打开它，它首先会将流量重定向到“ caforyn.pw ”，然后再重定向到 “ hitcpm.com ”，这样就可以充当一个不同的网站注册到这个收入链的调度员。

这些网站可能被攻击者用来增加客户流量，但这种流量是以非法的方式通过攻击网站而产生的。这些网站也可能托管冒充下载可疑内容（即工具栏，浏览器扩展或假防病毒）或窃取敏感数据（即信用卡信息）的欺诈页面。

由于攻击者是通过广告流量来获利的，所以这就决定了攻击者在选择目标网站时，一定要选择知名度较高的网站。因此，网站在搜索引擎上的排名就成了一个非常重要的参考指标。所以恶意软件就会通过利用包含热点搜索词的词汇表来执行SEO攻击。

通过路径 “{malw_name}/{malw_name}.php?vm={keyword}”，使用特定的User-Agent触发与主要PHP联系的包含词表及其相关查询结果的被入侵网站的人口。目前，CSE CybSec ZLab的研究人员发现了大约18100个网站受到感染。

当研究人员分析EvilTraffic的恶意广告活动时，他们发现，在攻击刚开始的前几个星期内所攻击的网站目前都对EvilTraffic采取了相应的措施。仅在一周之内，受影响的网站数量从35万个下降到18万个左右。

根据Alexa流量排名，hitcpm.com排名世界第132位，占全球互联网用户访问量的0.2367％。以下就是hypestat.com提供的hitcpm.com的一些流量统计

流量分析显示2017年10月份的流量呈指数增长，专家发现，EvilTraffic攻击背后的攻击者使用了各种劫持流量的办法来最大化广告利益，例如：

1.附件垃圾邮件；
2.通过不可靠的网站下载免费程序；
3.打开torrent文件并点击恶意链接；
4.通过玩网络游戏；
5.通过访问被入侵的网站。

总之恶意软件的主要目的是劫持网页浏览器，改变诸如DNS，设置，主页等浏览器设置，以便尽可能多地将流量重定向到调度站点。

关于CSE CybSec ZLab 实验室的详细研究报告，你可以点击以下链接：

http://csecybsec.com/download/zlab/20180121_CSE_Massive_Malvertising_Report.pdf