信息來(lái)源:mottoin
最近幾個(gè)月發(fā)布的兩個(gè)報(bào)告顯示,惡意軟件攻擊者正在嘗試使用WAV音頻文件來(lái)隱藏惡意代碼。該技術(shù)被稱(chēng)為隱寫(xiě)術(shù)——一種將信息隱藏在另一種數(shù)據(jù)介質(zhì)中的技術(shù)���。
在軟件領(lǐng)域���,隱寫(xiě)術(shù)用于描述將文件或文本隱藏在其他格式的文件中的過(guò)程。例如����,將純文本隱藏在圖像的二進(jìn)制格式中。
惡意軟件攻擊者已經(jīng)使用隱寫(xiě)術(shù)十多年了����,但惡意軟件攻擊者不使用隱寫(xiě)術(shù)來(lái)破壞或感染系統(tǒng),而只是將其作為一種轉(zhuǎn)移方法�。以前所有使用隱寫(xiě)術(shù)進(jìn)行惡意軟件攻擊的實(shí)例都圍繞使用圖像文件格式(例如PNG或JEPG)展開(kāi)。
但研究人員在最近發(fā)現(xiàn)的兩起攻擊事件中發(fā)現(xiàn)攻擊者開(kāi)始使用WAV音頻文件�,并漸漸有了泛濫的趨勢(shì)。
WAV是最常見(jiàn)的聲音文件格式之一��,是微軟公司專(zhuān)門(mén)為Windows開(kāi)發(fā)的一種標(biāo)準(zhǔn)數(shù)字音頻文件�����,該文件能記錄各種單聲道或立體聲的聲音信息,并能保證聲音不失真��。
早在今年6月���,賽門(mén)鐵克安全研究人員表示�,他們發(fā)現(xiàn)了一個(gè)名為Waterbug(或Turla)的俄羅斯網(wǎng)絡(luò)間諜組織��,該組織使用WAV文件將惡意代碼從其服務(wù)器隱藏并傳輸?shù)揭呀?jīng)感染的受害者����。
本月,BlackBerry Cylance發(fā)現(xiàn)了第二個(gè)惡意軟件活動(dòng)���,但Cylance表示���,他們看到了WAV隱寫(xiě)技術(shù)在日常的加密采礦惡意軟件操作中被濫用。
攻擊者將WAV音頻文件中的DLL隱藏�����,然后已存在于受感染主機(jī)上的惡意軟件下載并讀取MAV文件��,一點(diǎn)一點(diǎn)提取DLL���,然后運(yùn)行并安裝名為XMRrig的加密貨幣挖礦應(yīng)用程序��。
攻擊者一般利用隱寫(xiě)術(shù)來(lái)分發(fā)木馬或勒索軟件下載器�����,這還是研究人員第一次發(fā)現(xiàn)有攻擊者利用隱寫(xiě)術(shù)來(lái)分發(fā)挖礦軟件��。這表明加密貨幣挖礦惡意軟件作者正從其他操作中學(xué)習(xí)�,其復(fù)雜程度也在不斷提高����。
雖然基于WAV的隱寫(xiě)術(shù)有泛濫的趨勢(shì),但WAV����、PNG和JPG文件并不是唯一可以濫用的文件格式。
隱寫(xiě)術(shù)可以與任何文件格式一起使用����,只要攻擊者遵守該格式的結(jié)構(gòu)和約束,這樣對(duì)目標(biāo)文件進(jìn)行的任何修改都不會(huì)破壞其完整性�。
換句話說(shuō),通過(guò)阻止易受攻擊的文件格式來(lái)防御隱寫(xiě)術(shù)不是正確的解決方案����,因?yàn)檫@樣最后的結(jié)果是許多流行格式都下載不了��,例如JPEG���、PNG、BMP�、WAV、GIF����、WebP、TIFF��。
處理隱寫(xiě)術(shù)的正確方法是……什么也不做�。由于隱身僅用作數(shù)據(jù)傳輸方法,因此公司應(yīng)集中精力檢測(cè)濫用隱寫(xiě)術(shù)的惡意軟件的進(jìn)入/感染點(diǎn)���,或執(zhí)行由隱身標(biāo)記文件產(chǎn)生的未授權(quán)代碼��。
