這進一步證明網路犯罪者變得越來越聰明。 Eset 安全研究人員剛剛掌握了利用 Internet Explorer 和 Flash Player 中的缺陷的惡意軟體,其程式碼直接隱藏在廣告圖片的像素中。這就是為什麼它被稱為“Stegano”,指的是隱寫術,即在看似無害的事物中隱藏秘密訊息的藝術,例如這裡的線上廣告。
另一方面,這種惡意軟體的影響絕非微不足道。根據 Eset 的說法,損壞的廣告在非常受歡迎的新聞網站上的其他地方分發,允許“超過一百萬網路用戶”Eset 研究人員之一 Robert Lipovsky 在一份報告中解釋道部落格文章。攻擊完全自動發生,受害者甚至不需要點擊廣告。據研究人員稱,網路犯罪分子利用 Stegano 在受害者的機器上安裝銀行木馬、後門和間諜軟體。但從理論上講,沒有真正的限制。 “受害者還可能面臨惡劣的勒索軟體攻擊»,羅伯特‧利波夫斯基強調。
從技術上來說,斯特加諾攻擊分幾個階段進行。當惡意廣告第一次顯示時,它會執行第一個相當無害的Javascript程式碼,該程式碼將收集有關機器硬體和軟體環境的基本資訊。如果認為有趣,伺服器將用損壞的克隆替換廣告圖像。與第一幅影像的唯一區別是稱為「alpha 通道」的參數,它定義像素的透明度等級。然而,這個參數實際上代表了一條秘密訊息,先前的 Javascript 程式碼將逐像素地提取和組裝該訊息。對肉眼來說,差異幾乎是難以察覺的。與原始影像相比,損壞的影像看起來只是稍微模糊。
訊息的編碼比較簡單:兩個連續像素的alpha分別代表一個ASCII字元個數的十位和個位,最多計算一次。例:字母 239 和 253 經過幾次運算後給出數字 102,代表字母「f」。這樣恢復的文字是第二個 JavaScript 程式碼,更具侵入性。一旦執行,它將利用 Internet Explorer (CVE-2016-0162) 中的一個缺陷,使其能夠分析電腦的內容。特別是,它將試圖了解是否安裝了防毒軟體或它是否是安全研究人員的電腦(例如是否存在沙箱或網路分析器,例如 Wireshark)。
編碼在 GIF 影像中的特洛伊木馬
如果路徑清晰,它會建立一個不可見的 iframe 來載入惡意 Flash 檔案。這可以利用 Flash 播放器中的三個不同缺陷,取決於所遇到的版本(CVE-2015-8651、CVE-2016-1019 和 CVE-2016-4117)。然後安裝 shell 程式碼以再次偵測任何可能構成障礙的安全產品。只有在此時,它才會從伺服器恢復“有效負載”,即執行整個攻擊的特洛伊木馬或最終間諜軟體。它以 GIF 圖像的形式下載。
隱寫術、文件分析、安全產品偵測、下載檔案偽裝…網路犯罪分子透過隱寫術展示了他們現在掌握隱藏技術的程度。幸運的是,這還不足以保持完全不可檢測。主要目標國家為捷克共和國、加拿大、英國、澳洲、西班牙和義大利。保護自己的最佳方法是更新 Internet Explorer 和 Flash Player,因為攻擊者會利用已知的漏洞。甚至不再使用這個現在可有可無的軟體。使用防毒軟體或廣告攔截器也可以保護網路使用者。
