黑客攻擊手法不斷翻新。近日安全廠商發(fā)現(xiàn),WAV音訊檔也可以被用來散布惡意程式。
過去黑客經(jīng)常將惡意程式藏在非文件檔案中,像是圖檔中散布,這種攻擊手法稱為圖像隱碼術(Steganography)。以前看到的例子都是利用.JPEG或.PNG檔,不過最近包括賽門鐵克和BlackBerry的Cylance威脅研究中心研究人員,分別發(fā)現(xiàn)連WAV檔也被用作此類攻擊。
賽門鐵克6月公布,近日名為Turla或Waterbug的俄黑客組織發(fā)動多次攻擊,其中一次是將后門程序Meterpreter編碼成.WAV檔案型態(tài),以避免防毒軟件的偵測。而在過去的研究中,Turla被認為和俄有關。這也是安全研究界第一次發(fā)現(xiàn)圖像隱碼術(Steganography)使用.WAV檔。
周三Cylance部門研究人員也在一家企業(yè)電腦發(fā)現(xiàn)數(shù)次惡意行動,黑客將惡意檔案混在Wav檔案中。這些檔案乍看無害,但在不知情用戶執(zhí)行時,可和原先已在用戶環(huán)境中的下載程序(loader)作用以釋放出惡意程式。其中一個.wav檔使用了最低有效位(Least SignificantBit,LSB)手法,以僅4 byte資料和下載器互動后釋出Monero挖礦軟件XMRig,目的利用企業(yè)的CPU運算資源來挖礦。另外二個.wav檔則會釋放出Metaploit代碼,可用來建立逆向shell,分別經(jīng)由逆向TCP及逆向HTTP連線連向外部服務器,以接受攻擊指令。
研究人員認為這些手法和現(xiàn)有黑客組織(包括賽門鐵克發(fā)現(xiàn)的Turla)很類似,顯示正在進行攻擊模擬,同時也代表黑客已發(fā)展出避免被偵測的新手法。
資料來源:iThome Security
