“密寫”技術(shù)在很多偵探小說和諜戰(zhàn)電影中經(jīng)常會(huì)出現(xiàn)。間諜用密寫藥水把情報(bào)寫在白紙上，收到情報(bào)的上級(jí)再通過顯影技術(shù)把情報(bào)還原出來。

[[120796]]

最近，戴爾SecurityWorks的安全研究人員Brett Stone-Gross發(fā)表了一個(gè)報(bào)告，發(fā)現(xiàn)了一個(gè)新型惡意軟件“潛伏”，這個(gè)惡意軟件的最大特點(diǎn)就是，把惡意代碼通過隱藏在BMP圖片的像素中以躲避殺毒軟件。

最近的銀行木馬 KINS 利用了一部分泄漏的 Zeus 木馬源代碼， 已經(jīng)在嘗試“密寫”技術(shù)。然而，KINS 的“密寫”技術(shù)還比較原始。只是把數(shù)據(jù)(配置文件或者命令)附加在圖片文件的尾部。這種技術(shù)對(duì)于現(xiàn)在的入侵防護(hù)系統(tǒng)( IPS )或者入侵檢測系統(tǒng)( IDS )來說，相對(duì)比較容易檢測到。而”潛伏“則是通過一種算法，把加密后的 URL嵌入圖片的像素中。這樣對(duì)于目前的IPS或者IDS來說將無法檢測出來。

“潛伏”主要任務(wù)是一個(gè)下載器，用來下載后續(xù)的惡意代碼，用來搭建一個(gè)進(jìn)行點(diǎn)擊欺詐的僵尸網(wǎng)絡(luò)。“潛伏“的 DLL 資源區(qū)域帶有一個(gè) BMP 位圖。而“潛伏”把 惡意代碼 的URL放在了每個(gè)像素的顏色字節(jié)的最低位上。這樣的話，從整個(gè)位圖來看，只是會(huì)有一些噪點(diǎn)，而殺毒軟件或者是以特征值為基礎(chǔ)的 IPS/IDS 則很難檢測出來。

此外，“潛伏”還會(huì)對(duì)系統(tǒng)的安全防護(hù)系統(tǒng)進(jìn)行檢查，檢查系統(tǒng)是否安裝有 52 中殺毒軟件。如果檢測到其中的 21 種軟件，則“潛伏”不會(huì)去安裝下載的惡意代碼。如果不是的話，“潛伏”會(huì)把殺毒軟件的信息傳回給命令與控制服務(wù)器。

“潛伏”的發(fā)現(xiàn)是安全領(lǐng)域“道高一尺，魔高一丈”的又一個(gè)例子。前一段臭名昭著的贖金木馬Cryptolocker中采用了AES算法，以及僵尸網(wǎng)絡(luò)利用P2P技術(shù)進(jìn)行去中心化，都說明，惡意軟件和僵尸網(wǎng)絡(luò)背后的網(wǎng)絡(luò)犯罪分子在盡一切努力對(duì)惡意代碼進(jìn)行隱藏，或者對(duì)僵尸網(wǎng)絡(luò)進(jìn)行強(qiáng)化。而“密寫”技術(shù)則是最近惡意軟件的新動(dòng)向， 值得從事惡意軟件分析的人們多加關(guān)注。

關(guān)于隱寫術(shù)

http://baike.baidu.com/view/553273.htm?fr=aladdin

如果您想更加深入的研究隱寫術(shù)，您可以參考《數(shù)據(jù)隱藏技術(shù)揭秘》一書。

Brett Stone-Gross的分析報(bào)告

http://www.secureworks.com/cyber-threat-intelligence/threats/malware-analysis-of-the-lurk-downloader/

注：第一張圖中隱藏了key，你發(fā)現(xiàn)了嗎?(來自西電第五屆全國網(wǎng)絡(luò)安全大賽)