隱藏在圖片中的惡意程序Stegoloader
責編:admin |2015-06-17 15:50:29戴爾SecureWorks的安全人員周一披露了一種名為Stegoloader的惡意程序,其隱藏于圖片文件中,同時采用多種方法躲避殺毒軟件的“追殺”。
Stegoloader也叫Win32/Gatak.DR 及TSPY_GATAK.GTK,它是一款首次于2013年被發現的惡意程序,但當時并未引起人們的注意,主要是以為它的設計很隱秘,因此很多反病毒解決方案并不能檢測得到。信息隱藏技術是用來在另一信息或者圖像文件中隱藏信息的一種技術。惡意程序作者利用它在圖像文件中隱藏執行代碼,在一系列的安全檢測實施完之后,他才會被提取出來并運行。這種隱藏技術還被其他的一些惡意程序家族利用,如Miniduke APT組織、Aulreon木馬、Lurk下載器。
戴爾安全研究員指出,Stegoloader攻擊首先會以一個部署模塊開始,然后再在受感染的設備上下載、發布程序的主模塊。
躲避方法1:
在部署其他的模塊之前,該惡意程序會檢查它不是處在(殺毒軟件的)調試環境中。例如,部署一個模塊監視鼠標光標的移動情況,如果鼠標不停的變換位置或者永遠不變換位置,就說明當前環境有“貓膩”,惡意程序會立即終止所有惡意行為。
躲避方法2:
部署模塊會列出系統當前運行的進程,一旦發現某些安全工具的硬編碼字符,如Wireshark、Fiddler,它就不會在該系統上運行。如果沒有發現任何的安全威脅,它才會與C&C服務器連接,加密通信,下載含有惡意程序的PNG文件。
無論是PNG圖片還是解密后的代碼均不會存儲在磁盤上,這樣的話傳統基于磁盤的分析工具就很難發現該惡意程序。
一旦主模塊成功在內存中占據了一席之地,那情況就大不相同了。部署模塊就會終止,惡意程序開始與C&C服務器通信,接受一些指令,比如顯示系統詳細信息、列出被感染系統上安裝的程序、發送火狐、chrome、IE瀏覽器的歷史記錄、執行shell代碼、停止執行程序、休眠等。
如果Stegoloader搜集到的信息和某些條件匹配的話,網絡犯罪者就會進一步的配置其他的模塊,以執行不同的任務,如竊取IDA文件、訪問最近打開的文件、顯示主機的地理位置、釋放Pony密碼竊取程序等。
該惡意程序不是通過釣魚郵件方式傳播,而是通過感染第三方網站上的盜版軟件進行傳播,一旦受害者下載了該軟件就會被感染。目前發現受害者多為健康中心、教育機構、制造業。戴爾的研究人員沒有在目標攻擊中發現有使用該惡意程序的,但是他們也沒能完全排除這種可能性。