隐写术东山再起——将歹意软件有用负载写入图片文件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

隐写术东山再起——将歹意软件有用负载写入图片文件

申博_新闻事件 申博 199次浏览 已收录 0个评论

BOM归来

2013年,McAfee发现俄罗斯黑客使用修改Windows系统上主机文件的方法来传播恶意软件,除此之外,UTF-8 BOM (Byte Order Mark,字节顺序标记)字节还可以帮助这些恶意攻击者绕过检测。 BOM(byte-order mark),即字节顺序标记,它是插入到

隐写术东山再起——将歹意软件有用负载写入图片文件

低调但有用的隐写手艺虽然是旧魔术,但将代码隐蔽在看似一般的图象中,照样可以或许逃走很多收集平安职员的高眼。

收集平安的一大应战就是,过分存眷某一类要挟,这意味着有可以或许被另一种要挟杀个措手不及,迥殊是在我们的收集和进击面赓续扩大时,这类状态更严峻。以是,除要挟载体以外,我们还须要用团体的眼力存眷要挟手艺和要挟战略中的题目。总而言之,平安职员既要准备好随时迎战下一个0 day要挟,同时也不克不及对熟习的罕见破绽放松小心。

出于种种缘由,迥殊是为了节约本钱,收集犯罪分子迥殊喜好以换汤不换药的体式格局重复运用已有的歹意软件。把现成的进击对象修修补补,要比从新竖立一个费事很多,若是手艺好,调解后对象完整有可以或许骗过平安职员。Fortinet近来的一份申报发明,近来又活泼起来的隐写术就是个中一个须要重点监控的 “旧魔术”。

小心被隐写术骗了

不泄露手艺贯串了人类社会的通讯汗青。密码学是古代不泄露武艺中最知名的,不外隐写术也有悠长而传奇的汗青。隐写术是一种加密手艺,可以或许将某些内容——音讯、代码或别的内容 – 隐蔽到别的载体中,比方数字照片或视频,从而使其可以或许以不避忌的体式格局通报。十多年前,隐写术曾是向受害者流传歹意软件的经常使用手腕,但近期的发展为这类旧式进击注入了新的生机。

现在,作为夺旗(CTF)竞赛的一局部,平安专业职员最常碰到隐写术。近来的一个例子来自2018年的Hacktober.org CTF运动,个中符号“TerrifyingKitty”嵌入在图象中。这类战略很智慧,局部缘由是由于该手艺已异常老旧了,很多年青的平安专业职员在追求解决题目时以至都不会斟酌它。

但是,隐写术的运用其实不只限于娱乐和游戏。收集进击者再次最先将这类手艺周全融入他们的进击计划和对象中。近来的例子包孕Sundown Exploit Kit和新的Vawtrak和Gatak / Stegoloader歹意软件系列。

隐写术之前逐步过气的缘由之一是它一般不克不及用于高频要挟(虽然僵尸收集Vawtrak在2018年第四季度的运动异常频仍)。由于这些要挟仅限于特定的托付机制,因而它们一般没法完成收集犯罪分子愿望到达的高进击量,即使是Vawtrak的进击量在一天内也从未凌驾十来家公司。因而,当FortiGuard实验室的研究职员视察到,运用隐写术将歹意有用负载隐蔽到在交际媒体上通报的心情包中,从而致使歹意软件样本激增时,他们的好奇心被激发了,故此他们对代码进行了一些逆向工程操纵,想一探终究。

与险些一切别的歹意软件一样,嵌入在这些心情包中的歹意软件起首实验联络敕令和控制(C2)主机,然后下载与进击相干的别的代码或敕令。不外,风趣的处所就在这里。

这个歹意软件不是直接吸收敕令,而是依照指令在相干联的Twitter馈送中寻觅附加图象,下载这些图象,然后提取隐蔽在那些图象内的敕令以流传其歹意运动。它经由过程搜刮包罗诸如/ print(屏幕截图),/ processes(编写正在运转的历程列表)和/ docs(从分歧地位写入文件列表)等修正值敕令的图象符号来完成此操纵。

这类要领异常奇妙,由于大多数平安流程都专注于辨认和阻挠受沾染装备与C2服务器之间发送的通讯和敕令。这类奇特的隐蔽要领注解,我们的敌手在赓续实验怎样可以或许悄无声息地到达进击目标。应用交际媒体上同享的图象,和平安职员传统的二维平安防护要领,就是很好的例证。

因而,只管隐写术是一种低频进击序言,但收集犯罪分子已最先应用它连系交际媒体的普遍性和疾速流传性来通报歹意有用负载。在这类状态下,一个从小局限最先的进击序言 ,即使是在公司收集以外,也可以或许疾速扩大进击局限。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

这里的难点在于没法专注于全部进击频谱。正如我们常说,暴徒只须要做对一次,而平安职员一次都不克不及做错。平安专业职员固然须要经由过程延续的收集平安意识培训来提防此类立异性进击,但他们还须要确保全部进击面上的通明可见性。关于很多构造而言,这就须要从新思索和从新设想其平安基本架构。

虽然越来越多的损坏度目标(indicators of compromise)可用于检测歹意隐写代码,但大多数状态下,隐写进击都是0 day要挟。因而必需可以或许实时猎取最新的要挟谍报和行动剖析,并连系自动化和AI手艺,进而完成疾速要挟相应,多管齐下能力有用防备隐写要挟。

强化平安性的发起

回忆2018年的数据,要有用的应对现今赓续转变的要挟,须要突破“烟囱式”自力防护体系,将很多传统上分歧的平安对象连系在一起,竖立一种合作要领,资助平安职员周全控制收集中状态。

跟着古代收集要挟的数目、速率和品种的增添,伶仃的防护装备和平台越发显得疲于应对。构造和企业须要一种更一致的防备姿势,资助公司在全部分布式情况中的多个层检测已知和未知要挟。若是可以或许再与内部收集分段战略相连系,构造不只可以或许更好地检测,还可以或许以自动化手腕停止收集中横向扩大的要挟。

针对本文中议论的要挟,完成强有力的反隐写杀伤链须要包孕以下对象:

· 运用要挟谍报,以追踪近来的隐写手艺和别的要挟立异。

· 视察并测试可疑的隐写隐约歹意软件。

· 搜检可以或许隐蔽歹意内容的运用程序和别的代码。

· 阻挠已知的隐写音讯流量。

· 加速更新破绽补丁、更新晋级和战略控制并肯定其优先级。

平安职员须要随时相识和跟踪收集中盛行的和有损坏力的要挟,以珍爱其收集免受运用程序进击、歹意软件、僵尸收集和0 day破绽(如隐写手艺)的影响。收集平安范畴从未有过活跃的时候,IT团队必需赓续相识最新的要挟,包孕以新形式从新涌现的旧要挟,能力保证其收集平安。

BOM归来

2013年,McAfee发现俄罗斯黑客使用修改Windows系统上主机文件的方法来传播恶意软件,除此之外,UTF-8 BOM (Byte Order Mark,字节顺序标记)字节还可以帮助这些恶意攻击者绕过检测。 BOM(byte-order mark),即字节顺序标记,它是插入到


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明隐写术东山再起——将歹意软件有用负载写入图片文件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址