特洛伊木马使用隐写术来隐藏在图像文件中

“戴尔SecureWorks CTU研究团队最近分析了一块使用数字隐写术的恶意软件来隐藏其恶意代码的一部分。

stegoloader., as they dubbed it, is not technically new. 之前的版本 2013年和2014年发现了恶意软件,捆绑了用于破解或生成软件密钥的工具。

研究人员没有’t分享恶意软件的初始部署模块如何到达受害者’这次围绕电脑,但指出,它尚未观察到被剥削或偷窥,或在其他有针对性的攻击中使用。此外,它影响了多个垂直垂直,包括医疗保健,教育和制造。

stegoloader.’因为存在的主要原因是从用户窃取信息,但它具有模块化设计,研究人员自己表示他们可能还没有看到并分析其所有模块。

“Stegoloader’S的模块化设计允许其操作员根据需要部署模块,限制在调查期间恶意软件功能的曝光和逆向工程分析。这种有限的曝光使得难以充分评估威胁演员’ intent,” they explained.

恶意软件’S部署模块下载并启动主模块,但在尝试确保它不在环境中找到它’s由恶意软件分析师使用。为此,它列出了系统上的运行进程,并查找多个流行的安全产品或逆向工程工具:


只有它没有’发现其中任何一个下载主模块,它隐藏在位于合法托管网站上的通用PNG图像中。

“下载图像后,STEGOLOADER使用GDIPLUS库来解压缩图像,访问每个像素,并从每个像素的颜色提取最低有效位。使用RC4算法和硬编码密钥解密提取的数据流,”研究人员解释说。“PNG图像和解密代码都不保存到磁盘,通过传统的基于磁盘的签名分析,使恶意软件难以找到。”

主模块’与它的c沟通&C服务器已加密。恶意操作员CAND指示模块做了许多事情,例如收集有关系统,软件,浏览器历史记录的信息,并将其全部发送给C&C服务器,还有“kill”本身和执行shellcode。

已经分析的附加模块允许恶意软件窃取IDA(Disassembler)软件的安装实例,列出最近打开的文档,发现计算机的地理位置(即其IP地址),并窃取用于协议的流行应用程序的密码如Pop,IMAP,FTP和SSH。

stegoloader. is not the first malware to use steganography to hide malicious code or information such as the address of the malware’s backup C&C,但研究人员注意到它可以代表恶意软件的新兴趋势。

他们可能是对的。事实上,正如研究员Saumil Shah最近 展示 在箱子会议的黑客,它’可以插入可恶意代码和漏洞利用代码将其触发到图像中,并且通过当前的防御解决方案仍未检测到这种类型的传送机制。”

分享这个