隱藏在圖片中的惡意程序Stegoloader
責(zé)編:admin |2015-06-17 15:50:29戴爾SecureWorks的安全人員周一披露了一種名為Stegoloader的惡意程序,其隱藏于圖片文件中,同時(shí)采用多種方法躲避殺毒軟件的“追殺”。
Stegoloader也叫Win32/Gatak.DR 及TSPY_GATAK.GTK,它是一款首次于2013年被發(fā)現(xiàn)的惡意程序,但當(dāng)時(shí)并未引起人們的注意,主要是以為它的設(shè)計(jì)很隱秘,因此很多反病毒解決方案并不能檢測(cè)得到。信息隱藏技術(shù)是用來在另一信息或者圖像文件中隱藏信息的一種技術(shù)。惡意程序作者利用它在圖像文件中隱藏執(zhí)行代碼,在一系列的安全檢測(cè)實(shí)施完之后,他才會(huì)被提取出來并運(yùn)行。這種隱藏技術(shù)還被其他的一些惡意程序家族利用,如Miniduke APT組織、Aulreon木馬、Lurk下載器。
戴爾安全研究員指出,Stegoloader攻擊首先會(huì)以一個(gè)部署模塊開始,然后再在受感染的設(shè)備上下載、發(fā)布程序的主模塊。
躲避方法1:
在部署其他的模塊之前,該惡意程序會(huì)檢查它不是處在(殺毒軟件的)調(diào)試環(huán)境中。例如,部署一個(gè)模塊監(jiān)視鼠標(biāo)光標(biāo)的移動(dòng)情況,如果鼠標(biāo)不停的變換位置或者永遠(yuǎn)不變換位置,就說明當(dāng)前環(huán)境有“貓膩”,惡意程序會(huì)立即終止所有惡意行為。
躲避方法2:
部署模塊會(huì)列出系統(tǒng)當(dāng)前運(yùn)行的進(jìn)程,一旦發(fā)現(xiàn)某些安全工具的硬編碼字符,如Wireshark、Fiddler,它就不會(huì)在該系統(tǒng)上運(yùn)行。如果沒有發(fā)現(xiàn)任何的安全威脅,它才會(huì)與C&C服務(wù)器連接,加密通信,下載含有惡意程序的PNG文件。
無論是PNG圖片還是解密后的代碼均不會(huì)存儲(chǔ)在磁盤上,這樣的話傳統(tǒng)基于磁盤的分析工具就很難發(fā)現(xiàn)該惡意程序。
一旦主模塊成功在內(nèi)存中占據(jù)了一席之地,那情況就大不相同了。部署模塊就會(huì)終止,惡意程序開始與C&C服務(wù)器通信,接受一些指令,比如顯示系統(tǒng)詳細(xì)信息、列出被感染系統(tǒng)上安裝的程序、發(fā)送火狐、chrome、IE瀏覽器的歷史記錄、執(zhí)行shell代碼、停止執(zhí)行程序、休眠等。
如果Stegoloader搜集到的信息和某些條件匹配的話,網(wǎng)絡(luò)犯罪者就會(huì)進(jìn)一步的配置其他的模塊,以執(zhí)行不同的任務(wù),如竊取IDA文件、訪問最近打開的文件、顯示主機(jī)的地理位置、釋放Pony密碼竊取程序等。
該惡意程序不是通過釣魚郵件方式傳播,而是通過感染第三方網(wǎng)站上的盜版軟件進(jìn)行傳播,一旦受害者下載了該軟件就會(huì)被感染。目前發(fā)現(xiàn)受害者多為健康中心、教育機(jī)構(gòu)、制造業(yè)。戴爾的研究人員沒有在目標(biāo)攻擊中發(fā)現(xiàn)有使用該惡意程序的,但是他們也沒能完全排除這種可能性。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧