在当今最受关注的APT攻击和零时差漏洞利用中经常使用某些方法来逃避检测,而黑客用来在隐秘通道内隐藏数据的一切可能方法,就是我们所认为的“隐写术”
ZeusVM:在 JPG图片里隐藏恶意软件的配置文件
有一类Zeus病毒变种用一种特殊的方法隐藏它的配置文件,利用图片在其图像文件的末尾包含了一些数据,经过解密之后,会生成配置文件,而安全网关等设备不会报警,用户也不会发现。
(ZeusVM 下载的图片,里面暗藏了资料)
VAWTRAK 用收藏夹图标来隐藏配置文件
最近发现一个阴险的网银木马用网站的图标隐藏自己的配置,favicon.ico是浏览器显示在网址左边的一个小图,每个网站都有自己的favicon.ico,所以安全软件几乎不会做检查。
VAWTRAK在影像当中使用了一种称为 LSB(最低位)的技巧来隐藏讯息,它通过改变图像的像素,使得用肉眼机乎不能观测的像素携带信息。
FakeReg在应用程序图标中隐藏配置文件
网站图标并不是唯一的选择,我们发现不止一种Android病毒(ANDROIDOS_SMSREG.A)将配置文件隐藏在程序图标中。
(携带病毒配置文件的安卓图标,由于该图含有色情内容,所以进行了处理)
VBKlip在 HTTP协议中隐藏数据
VBKlip这个网银木马(在波兰非常流行)监控用户使用的网银账户,一旦发现可用账户,便会将转账目标26位数进行变换,生成新的账号,用来拦截用户的支付。新账号是一个洗钱组织,由C&C服务器用一种非常规的方式下达。该病毒会向C&C服务器发起一个毫无意义的HTTP链接,例如:
GETg4x6a9k2u.txt HTTP/1.1
这是一个几乎没人会注意的请求,然而服务器返回的信息包含了重要内容:
(C&C服务器的HTTP回应标头)
上面的base64编码的字符串,解开之后就是一个银行账号,受害者将会向这个账户付款。虽然这不是完全意义上的隐写术,但仍符合前面判定标准:利用非常规的渠道隐藏重要数据,导致外人很难察觉。
转载请标明文章来源于趋势科技!
431
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
