黑客如何在网络攻击中使用隐写术

Steganography

大家都听到过这样的建议:除非您知道电子邮件的附件来自何处,否则切勿打开电子邮件附件,如果其中有些人感到有些奇怪,我们也不会感到惊讶。毕竟,您知道为了使计算机受到损害,必须执行一些代码,并且知道代码是由可执行文件执行的。有鉴于此,您可能会认为,一个不起眼的JPG文件不会对您造成伤害。你会错的。

什么是隐写术?

隐写术一词源自希腊语“隐蔽”和“书写”,字面意思是将信息隐藏在非保密数据中。在网络安全方面,隐秘术是指将恶意代码嵌入看似良性的文件中的行为。

黑客几乎可以将恶意软件嵌入您想要想象的任何类型的文件中,包括图像和视频。这样,他们不仅更有可能欺骗受害者,而且还可以更好地逃避可能安装在计算机上的任何安全产品。

这不是新技术。实际上,在2017年,专家们创造了“ stegware”一词,作为使用图像和其他媒体文件中嵌入的恶意代码进行网络攻击的统称,但是可以肯定地说,隐秘术虽然聪明,有效,但并不是黑客经常使用。这主要是因为将恶意代码隐藏在外观良好的文件中并不容易,并且需要大多数网络犯罪分子根本不具备的先进水平。

现实世界中的隐写术攻击

话虽如此,隐写术不仅仅是一种理论。多年来,已经有一些采用该技术的攻击,而最近的一次攻击是卡巴斯基研究人员上个月发现的。

该活动针对英国,德国,日本和意大利的工业企业,最终,它分发了一个名为Mimikatz的工具,该工具窃取了Windows登录凭据。最有可能的目标是利用窃取的信息在受感染的网络内横向移动并造成更大的破坏。但是,骗子们必须先使用隐写术在系统上走私Mimikatz,然后才能这样做。

攻击始于精心设计的电子邮件和附加的Excel文件。专家指出,这些消息是针对每个目标定制的,这表明攻击者对打击随机的人或组织不感兴趣。

打开的Excel文件要求受害者单击“启用内容”按钮,如果用户遵照执行,则恶意电子表格将运行嵌入式宏指令,进而打开隐藏的PowerShell窗口并加载脚本。

然后,该恶意软件会从图像共享网站(例如Imgur或ImgBox)下载看上去无辜的PNG文件。关于该图像,没有什么可引起怀疑的,并且由于它是从完全合法的资源下载的,因此不太可能触发任何安全警报。

但是,实际上,该映像文件包含第二个经过Base64编码和加密的PowerShell脚本。该恶意软件从PNG文件中提取脚本,对其进行解密和解码,然后在第二个PowerShell窗口中运行它。其目的是下载并安装Mimikatz盗窃者。

目前尚不清楚卡巴斯基所说的攻击背后是谁,但很明显,无论他们是谁,他们都知道自己在做什么。我们只能希望,很少有网络犯罪分子像这些黑客那样聪明和精明。

June 3, 2020

发表评论