[[179038]]

一次惡意廣告的活動將數(shù)百萬用戶置于被攻擊的風(fēng)險之下，利用此種新方法傳播的Stegano攻擊工具包，已經(jīng)盯上那些未打補(bǔ)丁的系統(tǒng)。

研究人員發(fā)現(xiàn)一種早已被發(fā)現(xiàn)的攻擊工具包正通過一種全新的方法進(jìn)行傳播——它使用圖形圖像作為武器，能夠?qū)?shù)以百萬計的用戶置于攻擊風(fēng)險之下。

ESET研究人員表示最初是在“某一將目標(biāo)轉(zhuǎn)移到世界不同地區(qū)的惡意廣告活動中”發(fā)現(xiàn)的Stegano攻擊工具包。首先是荷蘭，隨后是捷克，如今在加拿大、英國、澳大利亞、西班牙和意大利也均有發(fā)現(xiàn)。ESET表示，該工具包已對“包括每天有數(shù)以百萬計的人訪問的新聞網(wǎng)站等主要域進(jìn)行了觀測，充當(dāng)“推薦人”的角色支持這些廣告”。根據(jù)ESET的消息所稱，惡意廣告用肉眼很難分辨。

ESET研究人員在一篇博客文章中寫道：“在不需要任何用戶交互的情況下，最初的腳本將受害者的機(jī)器信息報告給攻擊者的遠(yuǎn)程服務(wù)器。按照服務(wù)器端的邏輯，目標(biāo)機(jī)器會被發(fā)送一張正常的圖片，或是幾乎可以不知不覺篡改信息的惡意圖片。”惡意版本的圖片在其阿爾法通道中存在腳本編碼，它定義了每一像素的透明度。由于這一改動很輕微，因此最終圖片的顏色色調(diào)與正常圖片只有輕微的差別。”

通過惡意廣告方式傳播的這一名為Astrum的攻擊工具包早在2014年已被發(fā)現(xiàn)。而ESET將其稱之為Stegano，是參考了速記式加密(steganography)一詞，一種在圖像中隱藏圖像或文件的做法。

而Stegano攻擊工具包以IE和Adobe Flash Player作為常規(guī)的潛在目標(biāo)，專家認(rèn)為這是該攻擊工具包不同尋常的特點。

馬薩諸塞州薩默維爾市Recorded Future公司的高級解決方案架構(gòu)師Allan Liska認(rèn)為：“惡意廣告活動的通訊類型與攻擊工具包所使用的通訊類型一樣陌生”。

“這看起來不像是針對特定用戶的。相反，他們一直在面向不同的國家運(yùn)行活動。所以，這些攻擊既不是有針對性的或者水坑攻擊(watering hole attacks)，也不是大規(guī)模攻擊。攻擊者很精于挑選受害者，”Allan Liska說道。”盡管受害者們的基礎(chǔ)設(shè)施和傳輸系統(tǒng)很復(fù)雜，還是沒有發(fā)現(xiàn)他們的蹤跡，根據(jù)公開的報告顯示他們正在使用任何可用的零日漏洞。事實正相反，他們盯上的是那些系統(tǒng)還沒打補(bǔ)丁的用戶。”

Tripwire公司的IT安全和風(fēng)險策略高級總監(jiān)Tim Erlin認(rèn)為，惡意廣告更應(yīng)該被廣告網(wǎng)絡(luò)而非最終用戶檢測出來，不過最終用戶可通過保持軟件更新的辦法來保護(hù)自己。

“作為一名最終用戶，最好的保護(hù)措施是保持您的系統(tǒng)和應(yīng)用程序處于最新且完整補(bǔ)丁的狀態(tài)。惡意廣告使用已知的漏洞來感染您的系統(tǒng)，因此即使您在網(wǎng)絡(luò)上遇到了惡意廣告，打補(bǔ)丁和更新還是能幫助保護(hù)您的安全，”Erlin說道。“所有的惡意軟件需要借助某種方法來進(jìn)入您的系統(tǒng)，最常見的方法則是通過已知的漏洞和網(wǎng)絡(luò)釣魚。”

來自舊金山的網(wǎng)絡(luò)安全公司RiskIQ的網(wǎng)絡(luò)威脅研究員Darren Spruell認(rèn)為，任何能夠封鎖源自不可信站點的腳本執(zhí)行控制功能都會是有效的。

Spruell表示，“惡意廣告起于廣告生態(tài)系統(tǒng)的惡意廣告替換，并通過一系列的重定向，止于攻擊者的攻擊工具包。在沿途各點受害者的瀏覽器內(nèi)執(zhí)行JavaScript，打斷該過程能夠阻止通信重定向，廣告網(wǎng)絡(luò)可以采取各種措施來減輕惡意廣告對其客戶和網(wǎng)站訪問者的影響。重要的一步是驗證廣告主的身份，同時遵循在線廣告行業(yè)內(nèi)建立起來的一系列常規(guī)最佳實踐。”