惡意軟件隱藏新技巧——密寫
責編:admin |2014-10-08 14:14:22“密寫”技術在很多偵探小說和諜戰電影中經常會出現。間諜用密寫藥水把情報寫在白紙上,收到情報的上級再通過顯影技術把情報還原出來。
最近,戴爾SecurityWorks的安全研究人員Brett Stone-Gross發表了一個報告,發現了一個新型惡意軟件“潛伏”,這個惡意軟件的最大特點就是,把惡意代碼通過隱藏在BMP圖片的像素中以躲避殺毒軟件。
最近的銀行木馬 KINS 利用了一部分泄漏的 Zeus 木馬源代碼, 已經在嘗試“密寫”技術。然而,KINS 的“密寫”技術還比較原始。只是把數據(配置文件或者命令)附加在圖片文件的尾部。這種技術對于現在的入侵防護系統( IPS )或者入侵檢測系統( IDS )來說,相對比較容易檢測到。而”潛伏“則是通過一種算法,把加密后的 URL嵌入圖片的像素中。這樣對于目前的IPS或者IDS來說將無法檢測出來。
“潛伏”主要任務是一個下載器,用來下載后續的惡意代碼,用來搭建一個進行點擊欺詐的僵尸網絡。“潛伏“的 DLL 資源區域帶有一個 BMP 位圖。而“潛伏”把 惡意代碼 的URL放在了每個像素的顏色字節的最低位上。這樣的話,從整個位圖來看,只是會有一些噪點,而殺毒軟件或者是以特征值為基礎的 IPS/IDS 則很難檢測出來。
此外,“潛伏”還會對系統的安全防護系統進行檢查,檢查系統是否安裝有 52 中殺毒軟件。如果檢測到其中的 21 種軟件,則“潛伏”不會去安裝下載的惡意代碼。如果不是的話,“潛伏”會把殺毒軟件的信息傳回給命令與控制服務器。
“潛伏”的發現是安全領域“道高一尺,魔高一丈”的又一個例子。前一段臭名昭著的贖金木馬Cryptolocker中采用了AES算法,以及僵尸網絡利用P2P技術進行去中心化,都說明,惡意軟件和僵尸網絡背后的網絡犯罪分子在盡一切努力對惡意代碼進行隱藏,或者對僵尸網絡進行強化。而“密寫”技術則是最近惡意軟件的新動向, 值得從事惡意軟件分析的人們多加關注。