戴爾SecureWorks的安全人員周一披露了一種名為Stegoloader的惡意程序，其隱藏于圖片文件中，同時(shí)采用多種方法躲避殺毒軟件的“追殺”。

[[137226]]

Stegoloader也叫Win32/Gatak.DR 及TSPY_GATAK.GTK，它是一款首次于2013年被發(fā)現(xiàn)的惡意程序，但當(dāng)時(shí)并未引起人們的注意，主要是以為它的設(shè)計(jì)很隱秘，因此很多反病毒解決方案并不能檢測(cè)得到。信息隱藏技術(shù)是用來在另一信息或者圖像文件中隱藏信息的一種技術(shù)。惡意程序作者利用它在圖像文件中隱藏執(zhí)行代碼，在一系列的安全檢測(cè)實(shí)施完之后，他才會(huì)被提取出來并運(yùn)行。這種隱藏技術(shù)還被其他的一些惡意程序家族利用，如Miniduke APT組織、Aulreon木馬、Lurk下載器。

機(jī)智的躲避殺毒軟件

戴爾安全研究員指出，Stegoloader攻擊首先會(huì)以一個(gè)部署模塊開始，然后再在受感染的設(shè)備上下載、發(fā)布程序的主模塊。

躲避方法1：

在部署其他的模塊之前，該惡意程序會(huì)檢查它不是處在(殺毒軟件的)調(diào)試環(huán)境中。例如，部署一個(gè)模塊監(jiān)視鼠標(biāo)光標(biāo)的移動(dòng)情況，如果鼠標(biāo)不停的變換位置或者永遠(yuǎn)不變換位置，就說明當(dāng)前環(huán)境有“貓膩”，惡意程序會(huì)立即終止所有惡意行為。

躲避方法2：

部署模塊會(huì)列出系統(tǒng)當(dāng)前運(yùn)行的進(jìn)程，一旦發(fā)現(xiàn)某些安全工具的硬編碼字符，如Wireshark、Fiddler，它就不會(huì)在該系統(tǒng)上運(yùn)行。如果沒有發(fā)現(xiàn)任何的安全威脅，它才會(huì)與C&C服務(wù)器連接，加密通信，下載含有惡意程序的PNG文件。

無論是PNG圖片還是解密后的代碼均不會(huì)存儲(chǔ)在磁盤上，這樣的話傳統(tǒng)基于磁盤的分析工具就很難發(fā)現(xiàn)該惡意程序。

主模塊功能

一旦主模塊成功在內(nèi)存中占據(jù)了一席之地，那情況就大不相同了。部署模塊就會(huì)終止，惡意程序開始與C&C服務(wù)器通信，接受一些指令，比如顯示系統(tǒng)詳細(xì)信息、列出被感染系統(tǒng)上安裝的程序、發(fā)送火狐、chrome、IE瀏覽器的歷史記錄、執(zhí)行shell代碼、停止執(zhí)行程序、休眠等。

如果Stegoloader搜集到的信息和某些條件匹配的話，網(wǎng)絡(luò)犯罪者就會(huì)進(jìn)一步的配置其他的模塊，以執(zhí)行不同的任務(wù)，如竊取IDA文件、訪問最近打開的文件、顯示主機(jī)的地理位置、釋放Pony密碼竊取程序等。

該惡意程序不是通過釣魚郵件方式傳播，而是通過感染第三方網(wǎng)站上的盜版軟件進(jìn)行傳播，一旦受害者下載了該軟件就會(huì)被感染。目前發(fā)現(xiàn)受害者多為健康中心、教育機(jī)構(gòu)、制造業(yè)。戴爾的研究人員沒有在目標(biāo)攻擊中發(fā)現(xiàn)有使用該惡意程序的，但是他們也沒能完全排除這種可能性。

擴(kuò)展閱讀：一張圖片黑掉你：在圖片中嵌入惡意程序

印度Net-Square公司CEO、網(wǎng)絡(luò)安全專家Saumil Shah最近發(fā)現(xiàn)了一種攻擊方式：攻擊者可以把惡意程序?qū)懙揭粡埰胀ǖ膱D片文件里，人們只要打開看一眼這張看似普通的圖片，電腦就會(huì)被黑。技術(shù)原理Saumil Shah把這種隱藏惡意程序命名為Stegosploit。點(diǎn)我了解更多