信息來源:mottoin
最近幾個月發(fā)布的兩個報告顯示���,惡意軟件攻擊者正在嘗試使用WAV音頻文件來隱藏惡意代碼���。該技術被稱為隱寫術——一種將信息隱藏在另一種數(shù)據(jù)介質中的技術���。
在軟件領域���,隱寫術用于描述將文件或文本隱藏在其他格式的文件中的過程���。例如,將純文本隱藏在圖像的二進制格式中���。
惡意軟件攻擊者已經(jīng)使用隱寫術十多年了���,但惡意軟件攻擊者不使用隱寫術來破壞或感染系統(tǒng),而只是將其作為一種轉移方法���。以前所有使用隱寫術進行惡意軟件攻擊的實例都圍繞使用圖像文件格式(例如PNG或JEPG)展開���。
但研究人員在最近發(fā)現(xiàn)的兩起攻擊事件中發(fā)現(xiàn)攻擊者開始使用WAV音頻文件,并漸漸有了泛濫的趨勢���。
WAV是最常見的聲音文件格式之一���,是微軟公司專門為Windows開發(fā)的一種標準數(shù)字音頻文件,該文件能記錄各種單聲道或立體聲的聲音信息���,并能保證聲音不失真���。
早在今年6月���,賽門鐵克安全研究人員表示,他們發(fā)現(xiàn)了一個名為Waterbug(或Turla)的俄羅斯網(wǎng)絡間諜組織���,該組織使用WAV文件將惡意代碼從其服務器隱藏并傳輸?shù)揭呀?jīng)感染的受害者���。
本月,BlackBerry Cylance發(fā)現(xiàn)了第二個惡意軟件活動���,但Cylance表示���,他們看到了WAV隱寫技術在日常的加密采礦惡意軟件操作中被濫用。
攻擊者將WAV音頻文件中的DLL隱藏���,然后已存在于受感染主機上的惡意軟件下載并讀取MAV文件���,一點一點提取DLL,然后運行并安裝名為XMRrig的加密貨幣挖礦應用程序���。
攻擊者一般利用隱寫術來分發(fā)木馬或勒索軟件下載器,這還是研究人員第一次發(fā)現(xiàn)有攻擊者利用隱寫術來分發(fā)挖礦軟件。這表明加密貨幣挖礦惡意軟件作者正從其他操作中學習���,其復雜程度也在不斷提高���。
雖然基于WAV的隱寫術有泛濫的趨勢,但WAV���、PNG和JPG文件并不是唯一可以濫用的文件格式���。
隱寫術可以與任何文件格式一起使用,只要攻擊者遵守該格式的結構和約束���,這樣對目標文件進行的任何修改都不會破壞其完整性���。
換句話說,通過阻止易受攻擊的文件格式來防御隱寫術不是正確的解決方案���,因為這樣最后的結果是許多流行格式都下載不了���,例如JPEG、PNG���、BMP���、WAV���、GIF、WebP���、TIFF���。
處理隱寫術的正確方法是……什么也不做。由于隱身僅用作數(shù)據(jù)傳輸方法���,因此公司應集中精力檢測濫用隱寫術的惡意軟件的進入/感染點���,或執(zhí)行由隱身標記文件產(chǎn)生的未授權代碼。
