高级安全研究员Jerome SeguraMalwarebytes.,最近被他在学习的网络攻击。它似乎不断消失。
Segura经常研究恶意,这涉及使用有害在线广告的播种广告网络,然后出现在网站上,可能将恶意软件提供给人的计算机。
这是一种特别致力于的攻头,因为如果他们的计算机具有软件漏洞,人们仅仅必须查看广告被感染的广告。
“我们知道恶化者正在做的事情有些不同,”周四电话采访中的Segura说。
问题是他们无法通过查看恶意广告来复制攻击。它几乎好像攻击者知道他们正在被关注。
CyberAtckers经常概况机器 - 称为指纹识别 - 为了攻击安全研究人员正在使用的机器。某些IP地址或VPN网络或运行虚拟机的机器不会受到攻击。
塞古拉无法再看看攻击,直到他回家并使用他的家用电脑而不是Malwarebytes'实验室的攻击。
可疑广告包含一个逐个像素GIF图像。这不是通常的,因为像素用于跟踪目的,但这一个实际上包含了JavaScript。
JavaScript利用信息泄露漏洞(CVE-2013-7331.Segura说,在较老的未被统计的Internet Explorer版本中。漏洞可用于解析计算机的文件系统并弄清楚它是否运行某些AV程序。
Segura表示,如果检查过计算机,它的用户被广告重定向到运行Angler Exploit Kit的服务器。
网络ackers对潜在受害者做一些快速的侦察并不罕见。但Segura这次表示,攻击者还涉及其他步骤,使广告网络和安全研究人员非常困难,以检测不良行为。
Segura说,还通过SSL / TLS提供了单一逐个像素,包括单一像素,包括单像素,这使得越来越难以检测潜在的恶意行为。
恶意广告由Google的DoubleClick和数十个其他广告网络携带。它看起来攻击者已经建立了假域,甚至在将他们的恶意广告提供给在线广告公司之前,他们甚至在出现之前的几个月才能成立假域。
“它向您展示了他们可以成为多么欺骗以及有多少假广告商在那里,”他说。
Segura表示,他一直与Doubleclick和其他在线广告公司联系,但恶意广告仍在某些地方营运。
他说,在线广告的自动性和公司之间的关系迷宫使得过滤恶意广告困难。
“识别出什么罪犯是渗透与谷歌合作的第三个合作伙伴更容易,但不一定具有相同的安全筛选和紧张指南,”Segura说。
Malwarebytes发布了A.写上去论博客的研究。