一个广告Banner，不需要什么交互就或许让你的PC感染歹意程序，是不是感觉很牛掰？听说就现在为止，现已有上百万PC因为这样的原因被感染。并且许多大型网站好像都中招了，其间就包含yahoo和MSN，假如你最近看到过下面这样的广告，就真的要当心了！留意，仅仅看到就要当心。
像素中的歹意代码
安全公司ESET的歹意软件研讨专家在本周二发布了陈述，将这个Exploit Kit称为Stegano。Stegano可以将歹意代码嵌入banner广告的像素中，而这些banner广告一般都在一些广为人知的大型网站上，每日访问量超百万。依照ESET的说法，许多是新闻类媒体网站。
Stegano之一次呈现可以追溯到2014年，可是从本年10月初开端演化成了现在这种运用banner广告在各大型网站传达的 *** 。
Stegano这个姓名衍生于Steganography（隐写术）这个词，这门技能其实是经过一些技能手法将信息或内容隐藏在一些数字图画之中，因为肉眼不行见而完成所谓的隐形作用。
其实Stegano是将歹意代码隐藏在通明PNG图画的阿尔法通道（Alpha Channel）之中，学规划的同学应该知道，图画的Alpha通道可以经过更改每一个像素的通明度值来界说它们的通明程度。而歹意代码的传递竟然是经过Alpha通道的值来传递的，实在是适当高端。接下来，就如咱们所知道的那样，有人将这个包装后的歹意广告布置在了一些流量较大的干流网站上。

 
从左到右依次为初始版别；歹意版别和为了演示作用的歹意版别增强型
“因为这种修正非常纤细，被歹意修正过的广告跟初始版别看起来根本没有什么不同。”
能看出来下面这两张图哪张是原图，哪张含歹意代码么~

 
专家还说到，这些歹意广告会显现名为Browser Defence或许Broxu的软件宣扬内容，隐蔽性极强！最近阅读大型网站，假如你也看到这两个软件的广告了，那就得警觉起来了！
“这些banner广告坐落URL为hxxps://browser-defence.com或hxxps://broxu.com的长途域。”
建议了这次进犯的安排叫做AdGholas,他们拿手运用一些有用的技能手法来经过广告传达歹意软件，即咱们所知道的歹意广告。他们前次施行进犯就在7月，仅在一天内就运用歹意软件感染了超越一百万PC。
Malwarebytes歹意软件情报分析的负责人Jerome Segura说到，在短时间内阻挠AdGholas的进犯仍是或许完成的，但他们很快就可以运用在线广告的其他安全缝隙持续建议进犯。从Segura的调查来看，受灾的网站至少就包含了yahoo和MSN。
“这是我见过手法更先进的歹意广告进犯之一。” Segura说道。
Stegano原理
一旦有用户访问了存在这种歹意广告的网站，这个嵌入在广告中的歹意脚本就可以在不跟用户交互的情况下将用户电脑的信息发送给进犯者的长途服务器。
这个歹意脚本针对的是用IE阅读器的用户，它会先运用IE的CVE-2019-0162缝隙来扫描用户电脑，看看自己是否在沙箱或许某些安全软件的虚拟环境之中。
在验证了用户阅读器之后，歹意脚本会经过TinyURL（短网址）服务将阅读器重定向到一个网址。之后会加载一个Flash文件，这个文件可以依据用户运用的不同Flash Player版别来运用Flash Player的不同缝隙(CVE-2019-8651,、CVE-2019-1019、CVE-2019-4117)，尽管这几个缝隙现在现已补上了。

 
“在履行成功之后，Stegano会再次查看自己是否被监控，它的履行Shell代码会搜集一些安全产品装置或许履行的数据，这些行为就可以看出Stegano的开发者非常多疑。”ESET的安全专家在blog中说到，“假如进犯者发现查看的成果没什么问题，就会企图再次从这个服务器下载一个加密payload，然后把它假装成gif图片。”
进程中会下载假装的的“GIF图片”，再解密其间的payload，然后经过regsvr32.exe或rundll32.exe履行。歹意payloads的类型或许包含后门、特务软件、银行木马、文件盗取等。
下面这张ESET的图表或许能让你更直观的了解Stegano的进犯进程：

 
2到3秒你就被黑了？
以上一切操作都是主动的，仅发生在2到3秒之间，期间未与用户发生任何交互。
截止现在，Stegano exploit kit现已被广泛运用，包含闻名的Ursnif银行木马和Ramnit歹意软件。
Stegano在2014年运用时，方针是荷兰用户；2019年春天开端针对捷克；到了最近，连累规模扩大到加拿大、英国、澳大利亚、西班牙和意大利这5个国家。
并且这次进犯中，Stegano每个进犯国家选用特定的exploit包，以到达更大规模的转播。
因为AdGholas对进犯方针电脑的安全环境进行屡次检查，致使在研讨他们进犯 *** 的时分也遇到了不少费事。最终他是用了一台家用电脑并下载了Wireshark，这个不会被监测到的 *** 抓包东西才让他有幸调查到了一次完好的进犯。
Segura先是在11月27日发现了针对yahoo的进犯，没想到两天后歹意广告又呈现了。AdGholas在这次进犯中仅仅是改变了域，连域地点的IP地址都没变。
“假如没看出来的话咱们就遇到大费事了。” Segura说道，“这些进犯在没有人意识到的情况下就现已发生了。”
就算经过各种 *** 扫描歹意广告，但像AdGholas这样的入侵者仍是防不胜防。“只需在线广告存在一天，问题相同存在。”Segura说，“当然，也不可以以偏概全，合法的在线广告仍是占了大多数的。”

[1] [2] [3]  黑客接单网