黑客攻击手法不断翻新。近日安全厂商发现,WAV音讯档也可以被用来散布恶意程式。
过去黑客经常将恶意程式藏在非文件档案中,像是图档中散布,这种攻击手法称为图像隐码术(Steganography)。以前看到的例子都是利用.JPEG或.PNG档,不过最近包括赛门铁克和BlackBerry的Cylance威胁研究中心研究人员,分别发现连WAV档也被用作此类攻击。
赛门铁克6月公布,近日名为Turla或Waterbug的俄黑客组织发动多次攻击,其中一次是将后门程序Meterpreter编码成.WAV档案型态,以避免防毒软件的侦测。而在过去的研究中,Turla被认为和俄有关。这也是安全研究界第一次发现图像隐码术(Steganography)使用.WAV档。
周三Cylance部门研究人员也在一家企业电脑发现数次恶意行动,黑客将恶意档案混在Wav档案中。这些档案乍看无害,但在不知情用户执行时,可和原先已在用户环境中的下载程序(loader)作用以释放出恶意程式。其中一个.wav档使用了最低有效位(Least SignificantBit,LSB)手法,以仅4 byte资料和下载器互动后释出Monero挖矿软件XMRig,目的利用企业的CPU运算资源来挖矿。另外二个.wav档则会释放出Metaploit代码,可用来建立逆向shell,分别经由逆向TCP及逆向HTTP连线连向外部服务器,以接受攻击指令。
研究人员认为这些手法和现有黑客组织(包括赛门铁克发现的Turla)很类似,显示正在进行攻击模拟,同时也代表黑客已发展出避免被侦测的新手法。
资料来源:iThome Security
京公网安备 11010802035086号