攻擊新姿勢：橫幅廣告像素中隱藏惡意代碼

過去兩個月訪問主流網站的用戶遭到了一種新形式的惡意廣告攻擊，其攻擊代碼嵌入在橫幅廣告的單個像素內。

殺毒軟體開發商Eset的研究人員借用了隱寫術（steganography）的名字將這一攻擊行動命名為「Stegano」，據悉該攻擊行動可以追溯到2014年。但是從今年十月初開始，攻擊者開始改變套路將惡意代碼隱藏在知名的新聞網站中，這些網站每天都有數百萬的瀏覽量。

攻擊者將惡意腳本隱藏在橫幅廣告中，這些惡意代碼改變了廣告圖片的顏色，但是未經訓練的人幾乎是辨別不出區別的。

【左邊：乾淨的圖片；中間：具有惡意代碼的圖片；右邊：增強的惡意版本畫面；】

惡意腳本隱藏在定義像素透明度的阿爾法通道（Alpha Channel）內，即使對於目光敏銳的廣告網路也很難檢測得出異常。在檢測目標瀏覽器不是運行在虛擬機或與其它安全軟體相關聯之後，腳本會將瀏覽器定向到一個網站，利用已修復的三個Adobe Flash漏洞（CVE-2015-8651、CVE-2016-1019 和 CVE-2016-4117）入侵用戶計算機。

關於三個Adobe Flash漏洞

CVE-2015-8651是對domain memory執行相關操作的opcode在執行過程中沒有很好的對訪問地址的範圍進行判斷從而導致整數溢出漏洞。2016年年初，境外Darkhotel APT攻擊團伙曾利用該漏洞針對中國境內企業發起APT攻擊。

CVE-2016-1019是今年4月研究人員在Magnitude工具包中發現的一個Adobe Flash Player漏洞，該漏洞可以造成最新版本的Flash Player遠程代碼執行。

CVE-2016-4117是今年5月由國外研究人員發現，漏洞等級為高危漏洞，在CVSS Score中被評為10.0，它同時影響Windows，Mac OS X，Linux和Chrome OS等，最終可能導致遠程代碼執行。

隱藏在像素中的腳本利用了一個已修復的IE漏洞CVE-2016-0162去獲取訪問者計算機的細節信息。它還會檢查是否存在數據包捕獲、沙盒、虛擬機軟體和其它安全軟體。儘管Stegano只攻擊使用IE和Flash的用戶，但它隱藏橫幅廣告像素的方法可能會被其他攻擊者借用。

Eset發布的報告顯示，受感染的廣告網路影響的國家主要包括加拿大、英國、澳大利亞、西班牙和義大利等。2014年到2015年，在Stegano運動的早期，攻擊目標主要是荷蘭和捷克共和國的公民。

AdGholas攻擊活動

更新：為了執行隱藏載荷，惡意廣告中載入了一個重度修改的Countly版本—用於測量網路流量的開源方案，隨後該JavaScript就會提取圖像中的隱藏代碼並進行執行命令。因為在JavaScript本身不存在任何惡意代碼，所以廣告網路無法檢測到任何異常。

目前，來自Eset競爭對手Malwarebytes公司的安全研究人員已經發表了關於該攻擊行動的詳細記錄，他們稱該攻擊活動為「AdGholas」。

儘管目前Stegano只攻擊使用IE和未打補丁版Flash的用戶，但它隱藏橫幅廣告像素的方法可能會被其他攻擊者借用。未來的攻擊活動，或者那些未被檢測出的

正在進行中活動很可能利用零日漏洞造成更大範圍的危害。只有廣告網路能夠更好地檢測這些惡意行為，災難才不至繼續蔓延。

註：本文參考來源於arstechnica

推薦閱讀：