據(jù)Cyber Security News消息，ANY.RUN 沙盒分析了一種被稱為Meterpreter 的新型后門惡意軟件，能利用復雜的隱寫技術(shù)將惡意有效載荷隱藏在看似無害的圖片文件中。

基于Meterpreter的攻擊從一個包含 PowerShell 腳本的 .NET 可執(zhí)行文件開始，該腳本會從遠程命令與控制 (C2) 服務器下載一張 PNG 圖片，該圖片可以是一張景色秀麗的風景畫，但卻隱藏著惡意腳本。

惡意腳本使用 System.Drawing 庫和特定公式(149 & 15)*16)|| (83^15) = 83從圖像通道中計算出一個字節(jié)數(shù)組，該公式從圖像的前兩行綠色和藍色RGB色彩通道值中通過提取隱藏代碼而來。獲得字節(jié)數(shù)組后，惡意軟件會將其解碼為 ASCII 字符，從而顯示用戶代理字符串和惡意軟件將嘗試連接的 C2 服務器 IP 地址。

Meterpreter后門原理

通過這種連接，攻擊者可以發(fā)布命令，并有可能在未經(jīng)授權(quán)的情況下訪問被入侵的系統(tǒng)。解碼后的信息會被轉(zhuǎn)換成腳本，由惡意軟件執(zhí)行，從而在受感染的機器上建立一個持久的后門。該后門可用于各種惡意活動，如數(shù)據(jù)外滲、遠程代碼執(zhí)行或在網(wǎng)絡中進一步傳播惡意軟件。

隱寫術(shù)：惡意軟件傳播的有力武器

隱寫術(shù)是一種將信息隱藏在看似無害的數(shù)據(jù)中的做法，能夠繞過傳統(tǒng)的安全措施，通過在圖像、音頻文件或其他多媒體內(nèi)容中隱藏惡意代碼，在不被察覺的情況下發(fā)送有效載荷，目前正成為網(wǎng)絡犯罪分子日益青睞的技術(shù)，Meterpreter 后門活動凸顯了現(xiàn)代惡意軟件作者的復雜性和適應性。通過利用隱寫術(shù)，可以有效地隱藏其惡意活動，使安全專業(yè)人員在識別和減輕威脅方面面臨更大的挑戰(zhàn)。

一位網(wǎng)絡安全專家表示，這一活動凸顯了采用多層次安全方法的重要性，這種方法將傳統(tǒng)的基于簽名的檢測與行為分析和機器學習等先進技術(shù)相結(jié)合，要想在這些不斷變化的威脅面前保持領先，就必須時刻保持警惕，并采取積極主動的網(wǎng)絡安全方法。