[[179038]]

一次惡意廣告的活動(dòng)將數(shù)百萬(wàn)用戶置于被攻擊的風(fēng)險(xiǎn)之下，利用此種新方法傳播的Stegano攻擊工具包，已經(jīng)盯上那些未打補(bǔ)丁的系統(tǒng)。

研究人員發(fā)現(xiàn)一種早已被發(fā)現(xiàn)的攻擊工具包正通過(guò)一種全新的方法進(jìn)行傳播——它使用圖形圖像作為武器，能夠?qū)?shù)以百萬(wàn)計(jì)的用戶置于攻擊風(fēng)險(xiǎn)之下。

ESET研究人員表示最初是在“某一將目標(biāo)轉(zhuǎn)移到世界不同地區(qū)的惡意廣告活動(dòng)中”發(fā)現(xiàn)的Stegano攻擊工具包。首先是荷蘭，隨后是捷克，如今在加拿大、英國(guó)、澳大利亞、西班牙和意大利也均有發(fā)現(xiàn)。ESET表示，該工具包已對(duì)“包括每天有數(shù)以百萬(wàn)計(jì)的人訪問(wèn)的新聞網(wǎng)站等主要域進(jìn)行了觀測(cè)，充當(dāng)“推薦人”的角色支持這些廣告”。根據(jù)ESET的消息所稱，惡意廣告用肉眼很難分辨。

ESET研究人員在一篇博客文章中寫(xiě)道：“在不需要任何用戶交互的情況下，最初的腳本將受害者的機(jī)器信息報(bào)告給攻擊者的遠(yuǎn)程服務(wù)器。按照服務(wù)器端的邏輯，目標(biāo)機(jī)器會(huì)被發(fā)送一張正常的圖片，或是幾乎可以不知不覺(jué)篡改信息的惡意圖片。”惡意版本的圖片在其阿爾法通道中存在腳本編碼，它定義了每一像素的透明度。由于這一改動(dòng)很輕微，因此最終圖片的顏色色調(diào)與正常圖片只有輕微的差別。”

通過(guò)惡意廣告方式傳播的這一名為Astrum的攻擊工具包早在2014年已被發(fā)現(xiàn)。而ESET將其稱之為Stegano，是參考了速記式加密(steganography)一詞，一種在圖像中隱藏圖像或文件的做法。

而Stegano攻擊工具包以IE和Adobe Flash Player作為常規(guī)的潛在目標(biāo)，專家認(rèn)為這是該攻擊工具包不同尋常的特點(diǎn)。

馬薩諸塞州薩默維爾市Recorded Future公司的高級(jí)解決方案架構(gòu)師Allan Liska認(rèn)為：“惡意廣告活動(dòng)的通訊類型與攻擊工具包所使用的通訊類型一樣陌生”。

“這看起來(lái)不像是針對(duì)特定用戶的。相反，他們一直在面向不同的國(guó)家運(yùn)行活動(dòng)。所以，這些攻擊既不是有針對(duì)性的或者水坑攻擊(watering hole attacks)，也不是大規(guī)模攻擊。攻擊者很精于挑選受害者，”Allan Liska說(shuō)道。”盡管受害者們的基礎(chǔ)設(shè)施和傳輸系統(tǒng)很復(fù)雜，還是沒(méi)有發(fā)現(xiàn)他們的蹤跡，根據(jù)公開(kāi)的報(bào)告顯示他們正在使用任何可用的零日漏洞。事實(shí)正相反，他們盯上的是那些系統(tǒng)還沒(méi)打補(bǔ)丁的用戶。”

Tripwire公司的IT安全和風(fēng)險(xiǎn)策略高級(jí)總監(jiān)Tim Erlin認(rèn)為，惡意廣告更應(yīng)該被廣告網(wǎng)絡(luò)而非最終用戶檢測(cè)出來(lái)，不過(guò)最終用戶可通過(guò)保持軟件更新的辦法來(lái)保護(hù)自己。

“作為一名最終用戶，最好的保護(hù)措施是保持您的系統(tǒng)和應(yīng)用程序處于最新且完整補(bǔ)丁的狀態(tài)。惡意廣告使用已知的漏洞來(lái)感染您的系統(tǒng)，因此即使您在網(wǎng)絡(luò)上遇到了惡意廣告，打補(bǔ)丁和更新還是能幫助保護(hù)您的安全，”Erlin說(shuō)道。“所有的惡意軟件需要借助某種方法來(lái)進(jìn)入您的系統(tǒng)，最常見(jiàn)的方法則是通過(guò)已知的漏洞和網(wǎng)絡(luò)釣魚(yú)。”

來(lái)自舊金山的網(wǎng)絡(luò)安全公司RiskIQ的網(wǎng)絡(luò)威脅研究員Darren Spruell認(rèn)為，任何能夠封鎖源自不可信站點(diǎn)的腳本執(zhí)行控制功能都會(huì)是有效的。

Spruell表示，“惡意廣告起于廣告生態(tài)系統(tǒng)的惡意廣告替換，并通過(guò)一系列的重定向，止于攻擊者的攻擊工具包。在沿途各點(diǎn)受害者的瀏覽器內(nèi)執(zhí)行JavaScript，打斷該過(guò)程能夠阻止通信重定向，廣告網(wǎng)絡(luò)可以采取各種措施來(lái)減輕惡意廣告對(duì)其客戶和網(wǎng)站訪問(wèn)者的影響。重要的一步是驗(yàn)證廣告主的身份，同時(shí)遵循在線廣告行業(yè)內(nèi)建立起來(lái)的一系列常規(guī)最佳實(shí)踐。”