黑客攻击手法不断翻新。近日安全厂商发现,WAV音频档也可以被用来传播恶意程序。
过去黑客经常将恶意程序藏在非文件文件中,像是图片文件中传播,这种攻击手法称为图像隐码术(Steganography)。以前看到的例子都是利用.JPEG或.PNG档,不过最近包括赛门铁克和BlackBerry的Cylance威胁研究中心研究人员,分别发现连WAV档也被用作此类攻击。
赛门铁克6月公布,近日名为Turla或Waterbug的俄国黑客组织发动多次攻击,其中一次是将后门程序Meterpreter编码成.WAV文件形态,以避免杀毒软件的侦测。而在过去的研究中,Turla被认为和俄国政府有关。这也是安全研究界第一次发现图像隐码术(Steganography)使用.WAV档。
周三Cylance部门研究人员也在一家企业计算机发现数次恶意行动,黑客将恶意文件混在Wav文件中。这些文件乍看无害,但在不知情用户执行时,可和原先已在用户环境中的下载程序(loader)作用以释放出恶意程序。其中一个.wav档使用了最低有效进制(Least Significant Bit,LSB)手法,以仅4 byte数据和下载器交互后发布Monero挖矿软件XMRig,目的利用企业的CPU计算资源来挖矿。另外二个.wav档则会释放出Metaploit程序代码,可用来创建逆向shell,分别经由逆向TCP及逆向HTTP连接连向外部服务器,以接受攻击指令。
研究人员认为这些手法和现有黑客组织(包括赛门铁克发现的Turla)很类似,显示正在进行攻击仿真,同时也代表黑客已发展出避免被侦测的新手法。