根據(jù)最近幾個月連續(xù)發(fā)布的兩個安全報告,黑客正在嘗試?yán)肳AV音頻文件來隱藏惡意代碼。這項技術(shù)稱之為隱寫術(shù)(steganography),是一種將信息隱藏在另一種數(shù)據(jù)介質(zhì)中的技術(shù)。
在軟件領(lǐng)域,steganography也簡稱為“stego”,用于描述將文件或文本隱藏在其他格式的文件中的過程。例如,將純文本隱藏在圖像的二進(jìn)制格式中。事實上黑客已經(jīng)使用隱寫術(shù)有十多年了,通常不會用來破壞或者感染設(shè)備,而是作為一種轉(zhuǎn)移方法。隱寫術(shù)允許隱藏惡意代碼的文件繞過將不可執(zhí)行文件格式(例如多媒體文件)列入白名單的安全軟件。
以前所有使用隱寫術(shù)進(jìn)行惡意軟件攻擊的實例都圍繞使用圖像文件格式(例如PNG或JEPG)展開。最近發(fā)布的兩份報告中的新穎之處在于發(fā)現(xiàn)黑客開始使用WAV音頻文件,在今年開始被廣泛使用。
早在今年 6 月份,就有報告檢測到隱藏在WAV音頻文件中的惡意程序活動。賽門鐵克安全研究人員表示,他們發(fā)現(xiàn)了一個名為Waterbug(或Turla)的俄羅斯網(wǎng)絡(luò)間諜組織,該組織使用WAV文件將惡意代碼從其服務(wù)器隱藏并傳輸?shù)揭呀?jīng)感染的受害者。
BlackBerry Cylance在本月發(fā)現(xiàn)了第二個惡意軟件活動。在今天發(fā)布并上周與ZDNet共享的報告中,Cylance說它看到了與賽門鐵克幾個月前類似的東西。
但是,盡管賽門鐵克報告描述了一個國家級的網(wǎng)絡(luò)間諜活動,但Cylance表示,他們看到WAV隱寫技術(shù)在日常的加密采礦惡意軟件操作中被濫用。Cylance說,這個特殊的威脅參與者正在將WAV音頻文件中的隱藏DLL。
該黑客的使用WAV隱寫技術(shù)用于挖礦,調(diào)用系統(tǒng)資源來挖掘加密貨幣。Lemos告訴ZDNet:“使用隱秘技術(shù)需要對目標(biāo)文件格式有深入的了解。通常,復(fù)雜的威脅參與者希望長時間不被發(fā)現(xiàn)。
隱寫術(shù)可以與任何文件格式一起使用,只要攻擊者遵守該格式的結(jié)構(gòu)和約束,這樣對目標(biāo)文件進(jìn)行的任何修改都不會破壞其完整性。
換句話說,通過阻止易受攻擊的文件格式來防御隱寫術(shù)不是正確的解決方案,因為這樣最后的結(jié)果是許多流行格式都下載不了,例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。
