- A+
所属分类:未分类
数字取证专家报告了一种新的攻击方法,该方法包括使用WAV音频文件隐藏和交付后门以及用于在受感染系统上挖掘Monero加密货币的软件。
此方法的其他变体通过使用隐写术将其有效载荷隐藏在JPEG或PNG图像文件中来注入恶意软件,该技术被威胁行为者广泛用于隐藏该恶意软件,因此很好奇这批黑客选择使用恶意音频文件来交付您的有效载荷。
去年6月,赛门铁克的数字取证专家发现了Turla的一个牢房,该牢房由一群克里姆林宫支持的黑客(也称为毒熊或Wterburg)使用WAV格式的音轨向受害者发送包含后门Metasploit Meterpreter的有效载荷。
现在,研究人员发现,使用XMRig挖掘软件和Metaploit反向外壳代码,可以使用相同的隐写方法来感染设备。 专家提到:“这些WAV格式文件与功能强大的组件结合在一起,可以解码和执行隐藏在音频文件中数据中的恶意内容”。
播放时,可以看到看似常规的音乐档案,而其他收集的样本仅包含静态。 经过全面分析,专家们检测到Metasploit和XMRig的有效载荷:“黑客正在计划相当大范围的加密劫持和C&C反向连接操作”,专家补充道。
在分析过程中,数字取证专家发现,有效载荷以三种不同的方式进行解码和执行:
- 使用使用低有效位(LSB) 隐写术的加载程序来解码和运行PE文件
- 加载程序使用基于rand-()的解码算法来解码和运行PE文件
- 使用使用基于rand-()的解码算法的加载程序来解码和运行Shellcode
这三种方法中的任何一种都可以使威胁参与者成功隐藏任何文件中的有效载荷。 它们只能避免破坏容器格式的结构和处理。 此外,由于仅在内存中显示了后台代码,因此实施此方法会增加一个新的混淆层,从而使有效载荷非常难以检测。
尽管这种攻击方法与Turla黑客组织所使用的攻击方法相同,但国际网络安全研究所(IICS)的数字取证专家认为,将所有这些攻击归因于同一组织有点草率,因为它们实际上是任何黑客可以使用类似的工具和方法。
2019-10-17
