将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

申博_安全工具 申博 151次浏览 已收录 0个评论

概述

本周,很多Facebook用户都邑发明,一些用户宣布图片上涌现了底本应当隐蔽的图象标签。由此可以证实,图象可以照顾大批表面上不可见的数据。实际上,Facebook和Instagram所运用的图片元数据与歹意进击者制造的特制图象比拟显得异常简朴,进击者可以采纳庞杂的要领,制造出用于通报歹意代码或泄漏用户数据的图象。在过去几年中,运用隐写手艺和隐写式技能的野外歹意软件运动有显著增添。进击者应用这类手艺,在图片和其他“载体”文件中嵌入隐蔽的信息。在本篇文章中,我们将相识隐写术是什么,以及歹意进击者是怎样运用它的。

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

什么是隐写术?

隐写术(Steganography)是一种可以隐蔽代码的手艺,比方在图象文件中到场隐蔽的标签信息。该手艺也一般被称为“Stego”,是指在其他非隐秘文本中(在“载体”音讯内)隐蔽音讯或信息的做法。这也就意味着,歹意行动者可以运用此手艺,在网站上仅仅托管图象,或仅经由历程电子邮件发送图象。

只管隐蔽数据的载体文件不一定必需是图象,但数字图象具有与其他文件一样的字撙节,就使得它们成为隐蔽隐秘文本和其他数据的一个有用序言。当用户在装备上翻开图片时,很少有人会关注除了视觉显现以外的内容,也就是隐蔽在.jpg、.png、.bmp或其他图象文件花样内的内容。

隐写术是一种殽杂的要领,它与暗码学完全差别。暗码学是编制编码或加密音讯的实践。一段加密的音讯,可以很显著地被看出它隐蔽了一些内容,这些音讯一般看起来没有任何逻辑,须要采纳专业的要领来举行解码或解密。

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

另一方面,只管隐写信息看起来像一般信息,但却奇妙地隐蔽了一些意想不到的信息。我们可以采纳熟习的手艺,运用简朴的示例来申明隐写术背地的基础思想:

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

隐秘音讯“HelLo, worlD”没有被编码,阅读者只须要知道以某种特定的体式格局来检察音讯,即可读取个中的信息,我们无需向“载体”中增加任何分外数据来完成流传。只管图象隐写术的完成历程具有较强的手艺性,但它在一个更低的维度上来看,其道理是雷同的。

在上面这个简朴的例子中,是由人类的大脑解码在纯文本中隐蔽的音讯,但计算机顺序读取的字节并非自然语言,如许一来,对计算机来讲就异常轻易隐蔽显著的信息。关于人类来讲,也险些不能够在没有任何东西协助的情况下完成对其的剖析。

事实上,斟酌到图象文件的性子,它不仅可以用来隐蔽文本字符串,还可以隐蔽.jpg和其他图象花样的全部文件。实际上,依据所运用的手艺,也可以完成在原始图象的文件大小不显著增进的情况下隐蔽信息。

隐写术怎样隐蔽信息?

要相识图象隐写术的事情道理,起首我们先来看看在图象文件中隐蔽文本的一些基础要领。

最简朴的一个要领,就是将一个字符串附加到文件的末端。如许做,既不会影响图象的一般显现,也不会转变图象的视觉表面。在这里,我们只须要将“hello world”附加到文件的末端。经由历程Hexdump,我们看到了被增加的分外字节。

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

纯文本字符串可以很轻易地被顺序转储或读取。在这类情况下,我们只需运用xxd实用顺序来逆向十六进制,并以纯文本的情势打印出来。

echo 68 65 6c 6c 6f 20 77 6f 72 6c 64 0a | xxd -r -p

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

我们可以运用雷同的思绪,借助RAR紧缩花样将完全的文件附加到图象当中。图象检察器只会读取并显现与图象相干的代码,会疏忽紧缩包中包含的其他任何文件。然则,歹意行动者或顺序可以轻松提取附加的文件。

在此示例中,文件new.jpg在图象检察器应用顺序中翻开时会显现图片,但在运用WinRAR紧缩实用顺序举行检察时,我们可以看到解紧缩后的.jpg文件中包含一个隐秘的28字节文本文件msg.txt。

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

这些简朴的手艺,能够关于扩大用户数据很有协助,但同时也具有瑕玷。起首,这些手艺会增添文件的大小,其次,它们会变动文件的哈希值。另外,因为其不寻常的花样,可以很轻易被平安软件检测到。

有一种更好的体式格局,是以二进制情势修正代码,并支配每一个像素的最低有用位(LSB)。彩色图象中的像素可以用3个字节示意,离别是R(赤色)、G(绿色)、B(蓝色)。假定我们有三个字节,示意一种特定的色彩,比方橙色:

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

假如我们从左到右看,末了的四位,实际上对色彩的视觉表面没有太大的影响。

1 1 1 1 1 1 1 1

0 1 1 1 1 1 1 1

0 0 0 0 0 0 0 0

我们可以将末了四位修正成我们愿望的任何值,最终会致使该像素看起来与本来的值险些雷同。接下来,我们来看看另一个完全差别的色彩,比方绿松石色:

​美国实行DotGov项目确保.GOV域名DNS平安

背景 DNS是把域名转换为IP地址的协议。简而言之,它的主要功能是将用户友好的域名转换为计算机友好的IP地址。即使已经使用了数十年,域名系统(DNS)仍然是互联网的致命弱点。这是因为互联网上几乎所有东西都需要DNS,但DNS服务依赖的协

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

1 0 0 1 1 0 0 1

1 1 0 0 1 1 0 0

1 1 0 0 1 1 0 0

我们运用绿松石代码的前四位,来替代橙色代码的后四位,从而天生复合的RGB:

1 1 1 1 1 0 0 1

0 1 1 1 1 1 0 0

0 0 0 0 1 1 0 0

新天生的色彩与此前比拟,没有显著的色彩变化。

将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术

但是,假如我们构建一个顺序,来离别读取和提取这四位,那末我们就可以有用地在橙色的代码中隐蔽了绿松石的代码。两个像素的信息配合保存在一个像素当中,所以文件的大小也没有增添。由此证实,我们可以在不增添原始音讯长度的情况下传输隐蔽的音讯,也无需支配文件花样,因而关于依赖于文件扫描查找的简朴检测体式格局来讲是无效的。实际上,这些代码完全被殽杂,直到进击者从新组装。

简而言之,这意味着进击者可以运用末了四位编码的RGB数据来写入其他数据,而不会显著下降图象的视觉显现结果,也不会增添文件的大小。随后,隐蔽的数据可以被另一个顺序读取,并用于重修歹意文件或泄漏用户数据。

LSB支配只是浩瀚隐写手艺中的一种。实际上,有很多其他要领可以支配图象和其他范例的文件,以完成隐蔽暗码的目的。进击者以至还可以在网络协定中运用隐写术,即所谓的“网络隐写术”,以照顾隐蔽的音讯。在这些情况下,其准绳坚持稳定,经由历程在可见载体上搭载不可见的信息,从而将特定内容隐蔽在人们的视线以外。

现在在野外发明已运用隐写术的歹意软件

现在,已在野外发明存在一些针对Windows和macOS平台的歹意软件运用了隐写术。我们已发明,进击者运用隐写术来隐蔽部份讹诈软件的进击代码,供应歹意JavaScript,以至承载挖矿东西。下面展示了运用隐写术的重要歹意软件。

AdGhonlas:该歹意软件在图象、文本、HTML文件中隐蔽了歹意JavaScript。

Cerber:在图象文件中嵌入歹意代码。

DNSChanger:运用PNG LSB隐蔽歹意软件的AES加密密钥。

Stegano:在PNG花样的横幅广告中包含歹意代码。

Stegoloadr(别名Lurk):该歹意软件运用隐写术和暗码术,隐蔽加密的URL,从而供应后期阶段的Payload。

Sundown:运用正当PNG文件来隐蔽破绽应用代码或泄漏用户数据。

SyncCrypt:讹诈软件,将部份中心代码隐蔽在图象文件中。

TeslaCrypt:在HTTP 404毛病页面中,存在HTML解释标记,个中包含C2服务器敕令。

Vawtrak(别名Neverquest):在图标的LSB中隐蔽用于下载歹意Payload的URL。

VeryMal:该歹意软件针对macOS用户,将歹意JavaScript嵌入到正当文件中。

Zbot:将数据附加到包含隐蔽数据的JPEG文件的末端。

ZeroT:运用隐写手艺,将歹意软件隐蔽到Britney Spears的照片当中。

怎样提防歹意图象

将歹意代码隐蔽在图象或其他载体中,只是要挟行动者试图绕过反病毒平安产物时所应用的浩瀚手艺之一。不管运用哪一种手艺,歹意软件作者总有着雷同的目的:在终端上保证持久性、扫描遍历网络、网络并泄漏用户数据。为了完成这些目的,歹意软件作者留下了可以经由历程行动AI解决方案检测到的萍踪。

总结

将文件、图片、音讯以至是视频隐蔽在另一个文件中,多是歹意软件作者用于隐约其Payload或许泄漏用户数据的一种有用体式格局。斟酌到交际媒体网站上图象的掩盖水平之高,以及大多数广告都是以图象情势展示,我们估计将来歹意软件运用隐写术的趋向将会坚持。斟酌到最终用户难以鉴别出经心组织的的歹意图象文件,关于企业来讲,运用行动AI软件来检测歹意代码的实行就显得至关重要,不管该代码是来自图象照样来自其他文件,以至还包含无文件歹意软件。因而,我们发起企业用户可以斟酌选用自动化终端防护产物来提防此类风险。

原文地点: https://www.4hou.com/technology/19065.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明将歹意代码隐藏在图象中:揭秘歹意软件运用的隐写术
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址