示意圖,圖片來源:shorturl.at/eqF08、shorturl.at/iwJOY (CC0 Public Domain)

駭客攻擊手法不斷翻新。近日安全廠商發現,WAV音訊檔也可以被用來散佈惡意程式。

過去駭客經常將惡意程式藏在非文件檔案中,像是圖檔中散佈,這種攻擊手法稱為圖像隱碼術(Steganography)。以前看到的例子都是利用.JPEG或.PNG檔,不過最近包括賽門鐵克和BlackBerry的Cylance威脅研究中心研究人員,分別發現連WAV檔也被用作此類攻擊

賽門鐵克6月公佈,近日名為Turla或Waterbug的俄國駭客組織發動多次攻擊,其中一次是將後門程式Meterpreter編碼成.WAV檔案型態,以避免防毒軟體的偵測。而在過去的研究中,Turla被認為和俄國政府有關。這也是安全研究界第一次發現圖像隱碼術(Steganography)使用.WAV檔。

周三Cylance部門研究人員也在一家企業電腦發現數次惡意行動,駭客將惡意檔案混在Wav檔案中。這些檔案乍看無害,但在不知情用戶執行時,可和原先已在用戶環境中的下載程式(loader)作用以釋放出惡意程式。其中一個.wav檔使用了最低有效位元(Least Significant Bit,LSB)手法,以僅4 byte資料和下載器互動後釋出Monero挖礦軟體XMRig,目的利用企業的CPU運算資源來挖礦。另外二個.wav檔則會釋放出Metaploit程式碼,可用來建立逆向shell,分別經由逆向TCP及逆向HTTP連線連向外部伺服器,以接受攻擊指令。

研究人員認為這些手法和現有駭客組織(包括賽門鐵克發現的Turla)很類似,顯示正在進行攻擊模擬,同時也代表駭客已發展出避免被偵測的新手法。


Advertisement

更多 iThome相關內容