一次恶意广告的活动将数百万用户置于被攻击的风险之下,利用此种新方法传播的Stegano攻击工具包,已经盯上那些未打补丁的系统。
研究人员发现一种早已被发现的攻击工具包正通过一种全新的方法进行传播——它使用图形图像作为武器,能够将数以百万计的用户置于攻击风险之下。
ESET研究人员表示最初是在“某一将目标转移到世界不同地区的恶意广告活动中”发现的Stegano攻击工具包。首先是荷兰,随后是捷克,如今在加拿大、英国、澳大利亚、西班牙和意大利也均有发现。ESET表示,该工具包已对“包括每天有数以百万计的人访问的新闻网站等主要域进行了观测,充当“推荐人”的角色支持这些广告”。根据ESET的消息所称,恶意广告用肉眼很难分辨。
ESET研究人员在一篇博客文章中写道:“在不需要任何用户交互的情况下,最初的脚本将受害者的机器信息报告给攻击者的远程服务器。按照服务器端的逻辑,目标机器会被发送一张正常的图片,或是几乎可以不知不觉篡改信息的恶意图片。”恶意版本的图片在其阿尔法通道中存在脚本编码,它定义了每一像素的透明度。由于这一改动很轻微,因此最终图片的颜色色调与正常图片只有轻微的差别。”
通过恶意广告方式传播的这一名为Astrum的攻击工具包早在2014年已被发现。而ESET将其称之为Stegano,是参考了速记式加密(steganography)一词,一种在图像中隐藏图像或文件的做法。
而Stegano攻击工具包以IE和Adobe Flash Player作为常规的潜在目标,专家认为这是该攻击工具包不同寻常的特点。
马萨诸塞州萨默维尔市Recorded Future公司的高级解决方案架构师Allan Liska认为:“恶意广告活动的通讯类型与攻击工具包所使用的通讯类型一样陌生”。
“这看起来不像是针对特定用户的。相反,他们一直在面向不同的国家运行活动。所以,这些攻击既不是有针对性的或者水坑攻击(watering
hole attacks),也不是大规模攻击。攻击者很精于挑选受害者,”Allan
Liska说道。”尽管受害者们的基础设施和传输系统很复杂,还是没有发现他们的踪迹,根据公开的报告显示他们正在使用任何可用的零日漏洞。事实正相反,他们盯上的是那些系统还没打补丁的用户。”
Tripwire公司的IT安全和风险策略高级总监Tim Erlin认为,恶意广告更应该被广告网络而非最终用户检测出来,不过最终用户可通过保持软件更新的办法来保护自己。
“作为一名最终用户,最好的保护措施是保持您的系统和应用程序处于最新且完整补丁的状态。恶意广告使用已知的漏洞来感染您的系统,因此即使您在网络上遇到了恶意广告,打补丁和更新还是能帮助保护您的安全,”Erlin说道。“所有的恶意软件需要借助某种方法来进入您的系统,最常见的方法则是通过已知的漏洞和网络钓鱼。”
来自旧金山的网络安全公司RiskIQ的网络威胁研究员Darren Spruell认为,任何能够封锁源自不可信站点的脚本执行控制功能都会是有效的。
Spruell表示,“恶意广告起于广告生态系统的恶意广告替换,并通过一系列的重定向,止于攻击者的攻击工具包。在沿途各点受害者的浏览器内执行JavaScript,打断该过程能够阻止通信重定向,广告网络可以采取各种措施来减轻恶意广告对其客户和网站访问者的影响。重要的一步是验证广告主的身份,同时遵循在线广告行业内建立起来的一系列常规最佳实践。”
作者:Michael Heller
来源:51CTO