Qué es un TDS (Traffic Director System)

La idea para escribir este post surgió a raíz de haber  investigado múltiples casos de infecciones en equipos a causa de los omnipresentes Exploit Kits (EK). Una visita a un sitio web que aparentemente no debía comportar ningún riesgo, acababa con el usuario llamando al servicio de seguridad porque no podía abrir sus ficheros y comentando que le aparecía una imagen en la pantalla pidiéndole dinero por recuperar sus datos. Y en otros casos ni tan siquiera eso, porque se había infectado con un RAT o un troyano bancario y no era consciente de ello.

Existen métodos de redirección simples que se implementan directamente en el servidor web; son opciones que permiten gestionar las visitas a dicho sitio web y adaptar su comportamiento a las preferencias o características de los visitantes.

Por otro lado, podemos encontrar sistemas más complejos que nos permitirán mucha más granularidad a la hora de manejar los flujos de conexiones hacia nuestro sitio web, y que son grandes aliados también de los especialistas en SEO. En este apartado encontramos a los llamados TDS o Traffic Director/Direction System.

Conceptos

Antes de continuar con la descripción conviene aclarar varios conceptos:

  • SERP (Search Engine Result Page) : Página de resultados de búsqueda, la típica página que encontramos de respuesta a cualquier búsqueda que realizamos en un buscador online.
  • SEO (Search Engine Optimization): De modo muy resumido, aquellas acciones que realizamos sobre un sitio web para que nuestra web aparezca más arriba en las SERP.
  • PPI (Pay Per Install): Beneficio obtenido cuando un visitante de nuestro sitio web descarga un software anunciado en dicho sitio y lo instala en su equipo. Por cada instalación se obtiene un porcentaje de beneficio.
  • PPC (Pay Per Click): Beneficio por click en nuestro enlace.
  • Malvertising: uso de los anuncios online para distribuir software malicioso.
  • Campaña: URL que hace referencia a una página web determinada dentro de nuestro sitio web.
  • Stream: Flujo que seguirán las conexiones recibidas en una campaña.

TDS. Funcionalidad

Este tipo de sistemas son una gran herramienta para SEO ya que permiten redirigir a los usuarios a los contenidos mejor adaptados y ajustados a sus preferencias, dependiendo de su país de procedencia, idioma o las características del dispositivo con el que se esta conectando a Internet.  En su funcionamiento, dichos sistemas permiten definir esquemas que determinaran las acciones y el camino que tomarán las conexiones recibidas en determinada página de nuestro sitio web.

En el mercado existen TDS comerciales como Boss TDS, Keitaro TDS o Sutra TDS, y también podemos encontrar algún otro open source como SimpleTDS.

Para encauzar estos flujos de tráfico, los TDS se valen de diferentes sistemas de redirección, algunos basados en múltiples variables definidas en el protocolo HTTP y otras veces creados adhoc para mejorar la experiencia de usuario. Algunos de estos modos de redirigir el tráfico web son:

  • Mediante fichero .htaccess
  • HTTP 302
  • iframe dentro de la misma página
  • Form submit
  • Meta refresh
  • Código javascript
  • HTTP 404 redirect

Para la gestión de todo ese tráfico de entrada que llega desde múltiples ubicaciones y dispositivos, los TDS suelen contar con la opción de definir filtros que ayudan a dirigir el tráfico dependiendo de ciertos parámetros de la conexión, como por ejemplo:

  • Localización, hora del día
  • Permite definir filtros por direcciones ip o subredes
  • Cabecera HTTP_REFERER
  • Dependiendo de las características del navegador: versión,idioma, user_agent, javascript habilitado, sistema operativo
  • Cookies
  • Si la conexión la realiza a través de un proxy
  • Parámetros definidos adhoc, etc

Diariamente y sin advertirlo, somos usuarios de este tipo sistemas de distribución de tráfico, ampliamente utilizados en campañas de publicidad, rotación de anuncios en páginas que visitamos habitualmente, marketing dirigido.

Más de una vez habremos advertido que desde que usamos nuestro buscador online habitual para buscar información sobre esas vacaciones en París, no dejan de aparecer anuncios relacionados con el tema en algunas de las páginas que visitamos; o la típica ventana emergente con publicidad subida de tono que surge en el momento más inesperado.

Los TDS, además de enviarnos a páginas no solicitadas, también registran nuestros  datos de conexión (dirección IP, hora, sistema operativo, navegador, resolución del monitor,etc…) que pueden ser utilizados posteriormente para nuevas campañas, estudios estadísticos de mercado, etc.

Como todo ying tiene su yang, porque no hay herramienta que no tenga un uso fraudulento. En este caso los TDS son utilizados para facilitar la distribución de malware a través de internet, aprovechando sus cualidades para sacar el mayor partido posible de estos sistemas de distribución. El modo de funcionamiento de estos sistemas es el siguiente:

  1. Comprometer sitios web. O comprar tráfico a otro TDS.
  2. Redirigir dicho tráfico hacia un TDS controlado por atacante.
  3. Filtrar y redireccionar a las victimas hacia el exploit especifico adecuado a la configuración de su dispositivo.
  4. Descarga del exploit e instalación del malware.
  5. Postexplotación.

Para evitar la detección y dificultar el seguimiento de estas descargas, es posible enlazar varios TDS entre ellos. La finalidad es conseguir una rentabilidad económica de estos actos, que puede lograrse mediante diferentes medios:

  • Venta de los datos de usuario recogidos.
  • Distribución de EK para posterior explotación de los equipos infectados.
  • Malvertising: Contratación de campañas de publicidad. Estos son anuncios maliciosos, por lo general en la forma de Flash, javaScript, o DHTML, que redirigen al usuario a páginas web falsas o explotan una vulnerabilidad en el cliente.
  • Distribución de ransomware.

Como hemos comentado anteriormente, los TDS no son elementos que puedan considerarse maliciosos per se dentro del ecosistema de internet,  ya que son de gran utilidad para el funcionamiento del comercio electrónico y el marketing online, pero también constituyen una buena plataforma de distribución de software malicioso. Por todo esto es interesante tener mecanismos para detectar un mal uso de estos sistemas, lo que conlleva  primero detectar el uso de TDS y segundo determinar si dicho TDS esta siendo utilizado con fines delictivos redirigiendo a un sitio web de malware.

Algunos parámetros que nos pueden orientar a la hora de determinar que estamos ante un TDS pueden ser:

  • Estructura de la URI.
  • Nombres de ficheros conocidos: go.php,in.cgi.
  • Nombres de variables conocidas: seoref.
  • Su comportamiento: redirecciones, parámetros meta refresh.
  • Feeds recibidos de terceros con urls maliciosas.

 Conclusiones

Los TDS son de gran utilidad en el funcionamiento habitual del comercio en Internet mejorando la experiencia de usuario y la distribución de contenidos, pero también tiene su sitio en las campañas de malvertising y puede ser un método efectivo a la hora de distribuir malware, realizando una distribución dirigida y adhoc dependiendo de las características del equipo,software,localización,etc.

Navegar por internet sin las correspondientes precauciones se esta convirtiendo en un “deporte de riesgo”. Somos objetivo de “los buenos” que lanzan sus campañas publicitarias contra nosotros buscando un sitio en el mercado y nuevos clientes, pero también de “los malos” que buscan aprovecharse de los posibles fallos en nuestro navegador en beneficio propio.