黑客如何在網絡攻擊中使用隱寫術

Steganography

大家都聽到過這樣的建議:除非您知道電子郵件的附件來自何處,否則切勿打開電子郵件附件,如果其中一些人感到有些奇怪,我們也不會感到驚訝。畢竟,您知道為了使計算機受到損害,必須執行一些代碼,並且知道這些代碼是由可執行文件執行的。有鑑於此,您可能會認為,一個不起眼的JPG文件不會對您造成傷害。你會錯的。

什麼是隱寫術?

隱寫術一詞來自希臘語“隱蔽”和“書寫”,字面意思是將信息隱藏在非秘密數據中。在網絡安全方面,隱秘術是指將惡意代碼嵌入看似良性的文件中的行為。

黑客幾乎可以將惡意軟件嵌入您想要想像的任何類型的文件中,包括圖像和視頻。這樣,他們不僅更有可能欺騙受害者,而且還可以更好地逃避可能安裝在計算機上的任何安全產品。

這不是新技術。實際上,在2017年,專家創造了“ stegware”一詞,作為使用圖像和其他媒體文件中嵌入的惡意代碼進行網絡攻擊的統稱,但是可以肯定地說,隱秘術雖然聰明又有效,它並不是黑客的本事。經常使用。這主要是因為將惡意代碼隱藏在外觀良好的文件中並不容易,並且需要大多數網絡犯罪分子根本不具備的先進水平。

現實世界中的隱寫術攻擊

話雖如此,隱寫術不僅僅是一種理論。多年來,已經有一些採用該技術的攻擊,而最近的一次攻擊是卡巴斯基研究人員上個月發現的。

該活動針對英國,德國,日本和意大利的工業企業,最終,它分發了一個名為Mimikatz的工具,該工具竊取了Windows登錄憑據。最有可能的目標是利用竊取的信息在受感染的網絡內橫向移動並造成更大的破壞。但是,騙子們必須先使用隱寫術在系統上走私Mimikatz,然後才能這樣做。

攻擊始於精心設計的電子郵件和附加的Excel文件。專家指出,這些消息是針對每個目標定制的,這表明攻擊者對打擊隨機的人或組織不感興趣。

打開的Excel文件要求受害者單擊“啟用內容”按鈕,如果用戶遵照執行,則惡意電子表格將運行嵌入式宏指令,進而打開隱藏的PowerShell窗口並加載腳本。

然後,該惡意軟件從圖像共享網站(如Imgur或ImgBox)下載看上去無辜的PNG文件。關於圖像,沒有什麼可引起懷疑的,而且由於它是從完全合法的資源下載的,因此不太可能觸發任何安全警報。

但是,實際上,該映像文件包含第二個經過Base64編碼和加密的PowerShell腳本。該惡意軟件從PNG文件中提取腳本,對其進行解密和解碼,然後在第二個PowerShell窗口中運行它。其目的是下載並安裝Mimikatz盜竊者。

目前尚不清楚卡巴斯基所說的攻擊背後是誰,但很明顯,無論他們是誰,他們都知道自己在做什麼。我們只能希望,很少有網絡犯罪分子像這些黑客那樣聰明和精明。

June 3, 2020

發表評論