信息來源:mottoin
最近幾個(gè)月發(fā)布的兩個(gè)報(bào)告顯示,惡意軟件攻擊者正在嘗試使用WAV音頻文件來隱藏惡意代碼。該技術(shù)被稱為隱寫術(shù)——一種將信息隱藏在另一種數(shù)據(jù)介質(zhì)中的技術(shù)。
在軟件領(lǐng)域,隱寫術(shù)用于描述將文件或文本隱藏在其他格式的文件中的過程。例如,將純文本隱藏在圖像的二進(jìn)制格式中。
惡意軟件攻擊者已經(jīng)使用隱寫術(shù)十多年了,但惡意軟件攻擊者不使用隱寫術(shù)來破壞或感染系統(tǒng),而只是將其作為一種轉(zhuǎn)移方法。以前所有使用隱寫術(shù)進(jìn)行惡意軟件攻擊的實(shí)例都圍繞使用圖像文件格式(例如PNG或JEPG)展開。
但研究人員在最近發(fā)現(xiàn)的兩起攻擊事件中發(fā)現(xiàn)攻擊者開始使用WAV音頻文件,并漸漸有了泛濫的趨勢(shì)。
WAV是最常見的聲音文件格式之一,是微軟公司專門為Windows開發(fā)的一種標(biāo)準(zhǔn)數(shù)字音頻文件,該文件能記錄各種單聲道或立體聲的聲音信息,并能保證聲音不失真。
早在今年6月,賽門鐵克安全研究人員表示,他們發(fā)現(xiàn)了一個(gè)名為Waterbug(或Turla)的俄羅斯網(wǎng)絡(luò)間諜組織,該組織使用WAV文件將惡意代碼從其服務(wù)器隱藏并傳輸?shù)揭呀?jīng)感染的受害者。
本月,BlackBerry Cylance發(fā)現(xiàn)了第二個(gè)惡意軟件活動(dòng),但Cylance表示,他們看到了WAV隱寫技術(shù)在日常的加密采礦惡意軟件操作中被濫用。
攻擊者將WAV音頻文件中的DLL隱藏,然后已存在于受感染主機(jī)上的惡意軟件下載并讀取MAV文件,一點(diǎn)一點(diǎn)提取DLL,然后運(yùn)行并安裝名為XMRrig的加密貨幣挖礦應(yīng)用程序。
攻擊者一般利用隱寫術(shù)來分發(fā)木馬或勒索軟件下載器,這還是研究人員第一次發(fā)現(xiàn)有攻擊者利用隱寫術(shù)來分發(fā)挖礦軟件。這表明加密貨幣挖礦惡意軟件作者正從其他操作中學(xué)習(xí),其復(fù)雜程度也在不斷提高。
雖然基于WAV的隱寫術(shù)有泛濫的趨勢(shì),但WAV、PNG和JPG文件并不是唯一可以濫用的文件格式。
隱寫術(shù)可以與任何文件格式一起使用,只要攻擊者遵守該格式的結(jié)構(gòu)和約束,這樣對(duì)目標(biāo)文件進(jìn)行的任何修改都不會(huì)破壞其完整性。
換句話說,通過阻止易受攻擊的文件格式來防御隱寫術(shù)不是正確的解決方案,因?yàn)檫@樣最后的結(jié)果是許多流行格式都下載不了,例如JPEG、PNG、BMP、WAV、GIF、WebP、TIFF。
處理隱寫術(shù)的正確方法是……什么也不做。由于隱身僅用作數(shù)據(jù)傳輸方法,因此公司應(yīng)集中精力檢測(cè)濫用隱寫術(shù)的惡意軟件的進(jìn)入/感染點(diǎn),或執(zhí)行由隱身標(biāo)記文件產(chǎn)生的未授權(quán)代碼。