这进一步证明网络犯罪分子变得越来越聪明。 Eset 安全研究人员刚刚掌握了利用 Internet Explorer 和 Flash Player 中的缺陷的恶意软件,其代码直接隐藏在广告图像的像素中。这就是为什么它被称为“Stegano”,指的是隐写术,即在看似无害的事物中隐藏秘密信息的艺术,比如这里的在线广告。
另一方面,这种恶意软件的影响绝非微不足道。根据 Eset 的说法,损坏的广告在非常受欢迎的新闻网站上的其他地方分发,允许“超过一百万互联网用户”Eset 研究人员之一罗伯特·利波夫斯基 (Robert Lipovsky) 在一份报告中解释道博客文章。攻击完全自动发生,受害者甚至不需要点击广告。据研究人员称,网络犯罪分子利用 Stegano 在受害者的机器上安装银行木马、后门和间谍软件。但从理论上讲,没有真正的限制。 “受害者还可能面临恶劣的勒索软件攻击»,罗伯特·利波夫斯基强调道。
从技术上来说,斯特加诺攻击分几个阶段进行。当恶意广告第一次显示时,它会执行第一个相当无害的Javascript代码,该代码将收集有关机器硬件和软件环境的基本信息。如果认为有趣,服务器将用损坏的克隆替换广告图像。与第一幅图像的唯一区别是称为“alpha 通道”的参数,它定义像素的透明度级别。然而,这个参数实际上代表了一条秘密消息,之前的 Javascript 代码将逐像素地提取和组装该消息。对于肉眼来说,差异几乎是难以察觉的。与原始图像相比,损坏的图像看起来只是稍微模糊。
消息的编码比较简单:两个连续像素的alpha分别代表一个ASCII字符个数的十位和个位,最多计算一次。示例:字母 239 和 253 经过几次运算后给出数字 102,代表字母“f”。这样恢复的文本是第二个 JavaScript 代码,更具侵入性。一旦执行,它将利用 Internet Explorer (CVE-2016-0162) 中的一个缺陷,使其能够分析计算机的内容。特别是,它将试图了解是否安装了防病毒软件或者它是否是安全研究人员的计算机(例如是否存在沙箱或网络分析器,例如 Wireshark)。
编码在 GIF 图像中的特洛伊木马
如果路径清晰,它会创建一个不可见的 iframe 来加载恶意 Flash 文件。这可以利用 Flash 播放器中的三个不同缺陷,具体取决于遇到的版本(CVE-2015-8651、CVE-2016-1019 和 CVE-2016-4117)。然后安装 shell 代码以再次检测任何可能构成障碍的安全产品。只有在此时,它才会从服务器恢复“有效负载”,即执行整个攻击的特洛伊木马或最终间谍软件。它以 GIF 图像的形式下载。
隐写术、文件分析、安全产品检测、下载文件伪装……网络犯罪分子通过隐写术展示了他们现在掌握隐藏技术的程度。幸运的是,这还不足以保持完全不可检测。主要目标国家是捷克共和国、加拿大、英国、澳大利亚、西班牙和意大利。保护自己的最佳方法是更新 Internet Explorer 和 Flash Player,因为攻击者会利用已知的漏洞。甚至不再使用这个现在可有可无的软件。使用防病毒软件或广告拦截器也可以保护互联网用户。
