惡意軟件隱藏新技巧——密寫
責(zé)編:admin |2014-10-08 14:14:22“密寫”技術(shù)在很多偵探小說和諜戰(zhàn)電影中經(jīng)常會(huì)出現(xiàn)。間諜用密寫藥水把情報(bào)寫在白紙上,收到情報(bào)的上級(jí)再通過顯影技術(shù)把情報(bào)還原出來。
最近,戴爾SecurityWorks的安全研究人員Brett Stone-Gross發(fā)表了一個(gè)報(bào)告,發(fā)現(xiàn)了一個(gè)新型惡意軟件“潛伏”,這個(gè)惡意軟件的最大特點(diǎn)就是,把惡意代碼通過隱藏在BMP圖片的像素中以躲避殺毒軟件。
最近的銀行木馬 KINS 利用了一部分泄漏的 Zeus 木馬源代碼, 已經(jīng)在嘗試“密寫”技術(shù)。然而,KINS 的“密寫”技術(shù)還比較原始。只是把數(shù)據(jù)(配置文件或者命令)附加在圖片文件的尾部。這種技術(shù)對(duì)于現(xiàn)在的入侵防護(hù)系統(tǒng)( IPS )或者入侵檢測(cè)系統(tǒng)( IDS )來說,相對(duì)比較容易檢測(cè)到。而”潛伏“則是通過一種算法,把加密后的 URL嵌入圖片的像素中。這樣對(duì)于目前的IPS或者IDS來說將無法檢測(cè)出來。
“潛伏”主要任務(wù)是一個(gè)下載器,用來下載后續(xù)的惡意代碼,用來搭建一個(gè)進(jìn)行點(diǎn)擊欺詐的僵尸網(wǎng)絡(luò)。“潛伏“的 DLL 資源區(qū)域帶有一個(gè) BMP 位圖。而“潛伏”把 惡意代碼 的URL放在了每個(gè)像素的顏色字節(jié)的最低位上。這樣的話,從整個(gè)位圖來看,只是會(huì)有一些噪點(diǎn),而殺毒軟件或者是以特征值為基礎(chǔ)的 IPS/IDS 則很難檢測(cè)出來。
此外,“潛伏”還會(huì)對(duì)系統(tǒng)的安全防護(hù)系統(tǒng)進(jìn)行檢查,檢查系統(tǒng)是否安裝有 52 中殺毒軟件。如果檢測(cè)到其中的 21 種軟件,則“潛伏”不會(huì)去安裝下載的惡意代碼。如果不是的話,“潛伏”會(huì)把殺毒軟件的信息傳回給命令與控制服務(wù)器。
“潛伏”的發(fā)現(xiàn)是安全領(lǐng)域“道高一尺,魔高一丈”的又一個(gè)例子。前一段臭名昭著的贖金木馬Cryptolocker中采用了AES算法,以及僵尸網(wǎng)絡(luò)利用P2P技術(shù)進(jìn)行去中心化,都說明,惡意軟件和僵尸網(wǎng)絡(luò)背后的網(wǎng)絡(luò)犯罪分子在盡一切努力對(duì)惡意代碼進(jìn)行隱藏,或者對(duì)僵尸網(wǎng)絡(luò)進(jìn)行強(qiáng)化。而“密寫”技術(shù)則是最近惡意軟件的新動(dòng)向, 值得從事惡意軟件分析的人們多加關(guān)注。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!