隐写术卷土重来——将恶意软件有效负载写入图片文件

尽量隐写术是一种低频进攻途径，但收集犯法分子已经开始操作它团结交际媒体的广泛性和快速撒播性来转达恶意有用负载。

低调但有用的隐写技能固然是旧花招，但将代码潜匿在看似正常的图像中，照旧也许逃走很多收集安详职员的高眼。

收集安详的一大挑衅就是，太过存眷某一类威胁，这意味着有也许被另一种威胁杀个措手不及，，尤其是在我们的收集和进攻面不绝扩大时，这种环境更严峻。以是，除了威胁载体之外，我们还必要用整体的目光存眷威胁技能和威胁计策中的题目。总而言之，安详职员既要筹备好随时迎战下一个0 day威胁，同时也不能对认识的常见裂痕放松鉴戒。

出于各类缘故起因，尤其是为了节减本钱，收集犯法分子出格喜好以换汤不换药的方法重复行使已有的恶意软件。把现成的进攻器材修修补补，要比从头建设一个省事得多，假如技能好，调解后器材完全有也许骗过安详职员。Fortinet最近的一份陈诉发明，最近又活泼起来的隐写术就是个中一个必要重点监控的 “旧花招”。

当心被隐写术骗了

保密技能贯串了人类社会的通讯汗青。暗码学是古代保密武艺中最出名的，不外隐写术也有久长而传奇的汗青。隐写术是一种加密技能，可以将某些内容——动静、代码或其余内容 – 潜匿到其余载体中，譬喻数字照片或视频，从而使其可以或许以不避忌的方法转达。十多年前，隐写术曾是向受害者撒播恶意软件的常用本领，但近期的成长为这种旧式进攻注入了新的活力。

现在，作为夺旗（CTF）角逐的一部门，安详专业职员最常碰着隐写术。最近的一个例子来自2018年的Hacktober.org CTF勾当，个中符号“TerrifyingKitty”嵌入在图像中。这种计策很智慧，部门缘故起因是由于该技能已经很是老旧了，很多年青的安详专业职员在寻求办理题目时乃至都不会思量它。

然而，隐写术的应用并不只限于娱乐和游戏。收集进攻者再次开始将这种技能全面融入他们的进攻方案和器材中。最近的例子包罗Sundown Exploit Kit和新的Vawtrak和Gatak / Stegoloader恶意软件系列。

隐写术之前逐渐过气的缘故起因之一是它凡是不能用于高频威胁（固然僵尸收集Vawtrak在2018年第四序度的勾当很是频仍）。因为这些威胁仅限于特定的交付机制，因此它们凡是无法实现收集犯法分子但愿到达的高进攻量，纵然是Vawtrak的进攻量在一天内也从未高出十来家公司。因此，当FortiGuard尝试室的研究职员调查到，行使隐写术将恶意有用负载潜匿到在交际媒体上转达的心情包中，从而导致恶意软件样本激增时，他们的好奇心被引发了，故此他们对代码举办了一些逆向工程操纵，想一探毕竟。

与险些全部其余恶意软件一样，嵌入在这些心情包中的恶意软件起首实行接洽呼吁和节制（C2）主机，然后下载与进攻相干的其余代码或呼吁。不外，风趣的处所就在这里。

这个恶意软件不是直接吸取呼吁，而是凭证指令在相干联的Twitter馈送中探求附加图像，下载这些图像，然后提取潜匿在那些图像内的呼吁以撒播其恶意勾当。它通过搜刮包括诸如/ print（屏幕截图），/ processes（编写正在运行的历程列表）和/ docs（从差异位置写入文件列表）等修改值呼吁的图像标志来完成此操纵。

这种要领很是奇妙，由于大大都安详流程都专注于辨认和阻止受传染装备与C2处事器之间发送的通讯和呼吁。这种奇异的潜匿要领表白，我们的敌手在不绝实行怎样可以或许悄无声气地到达进攻目标。操作交际媒体上共享的图像，以及安详职员传统的二维安详防护要领，就是很好的例证。

因此，尽量隐写术是一种低频进攻前言，但收集犯法分子已经开始操作它团结交际媒体的广泛性和快速撒播性来转达恶意有用负载。在这种环境下，一个从小局限开始的进攻前言 ，纵然是在公司收集之外，也可以快速扩展进攻范畴。

这里的难点在于无法专注于整个进攻频谱。正如我们常说，暴徒只必要做对一次，而安详职员一次都不能做错。安详专业职员虽然必要通过一连的收集安详意识培训来防御此类创新性进攻，但他们还必要确保整个进攻面上的透明可见性。对付很多组织而言，这就必要从头思索和从头计划其安详基本架构。

固然越来越多的粉碎度指标（indicators of compromise）可用于检测恶意隐写代码，但大大都环境下，隐写进攻都是0 day威胁。因此必需可以或许实时获取最新的威胁谍报和举动说明，并团结自动化和AI技能，进而实现快速威胁相应，多管齐下才气有用防止隐写威胁。

强化安详性的提议

回首2018年的数据，要有用的应对当今不绝变革的威胁，必要冲破“烟囱式”独立防护体系，将很多传统上差异的安详器材团结在一路，成立一种协作要领，辅佐安详职员全面把握收集中状况。

跟着当代收集威胁的数目、速率和种类的增进，孤独的防护装备僻静台愈加显得疲于应对。组织和企业必要一种更同一的防止姿态，辅佐公司在整个漫衍式情形中的多个层检测已知和未知威胁。假如可以或许再与内部收集分段计策相团结，组织不只可以更好地检测，还可以以自动化本领截止收集中横向扩展的威胁。

• 针对本文中接头的威胁，实现强有力的反隐写杀伤链必要包罗以下器材：
• 行使威胁谍报，以追踪最近的隐写技能和其余威胁创新。
• 调查并测试可疑的隐写恍惚恶意软件。
• 搜查也许潜匿恶意内容的应用措施和其余代码。
• 阻止已知的隐写动静流量。
• ·加速更新裂痕补丁、更新进级和计策节制并确定其优先级。

安详职员必要随时相识和跟踪收集中风行的和有粉碎力的威胁，以掩护其收集免受应用措施进攻、恶意软件、僵尸收集和0 day裂痕（如隐写技能）的影响。收集安详规模从未有过沉闷的时候，IT团队必需不绝相识最新的威胁，包罗以新情势从头呈现的旧威胁，才气担保其收集安详。

【编辑保举】

1. 2019年2月热点恶意软件观测功效出炉
2. 2019年收集犯法和恶意软件猜测
3. 怎样检测无文件恶意软件进攻？
4. 海外对2019年收集犯法和恶意软件等收集安详的猜测
5. 奇思妙想之用JS给图片加口令

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!