本文讲的是 Stegoloader--可隐藏在PNG图片直接进驻内存的木马,一种最早出现在2012年名叫Stegoloader的木马,在最近几个月里死灰复燃,主要以美国的医疗组织为攻击目标。这是一种将恶意代码隐藏在PNG图片文件内部的计算机木马,使用数字隐写技术绕过计算机和网络防御系统。
据戴尔安全工作室(Dell SecureWorks)最近的一份报告显示,尽管该木马主要是用来从被感染的系统中窃取文件、信息和密码,但却包含着能够进行功能扩展的扩展模块。
在Stegoloader感染过程中,临时部署组件会从互联网上下载一个功能性的PNG文件。在PNG文件的像素内部,隐藏着少量可以提取出来用于重建木马主模块的加密代码。PNG图像和木马主模块都不会保存在磁盘上,整个过程只是在计算机的内存中进行,木马也是直接加载到内存中。
近几年来,包括网络间谍组织在内的恶意软件作者越来越多地开始使用无文件组件技术,让恶意软件更加难以检测和排查。
利用数字隐写技术隐藏恶意代码虽然并不是什么新鲜事物,但该技术的使用却越来越多,其目的就是绕过检测进出网络内容流的网络级恶意软件扫描工具。
据杀毒厂商趋势科技统计数据,在过去三个月间,检测到的Stegoloader木马感染主要集中在医疗、金融和制造业组织。超过66%的被感染者来自美国。
趋势科技的研究人员周三在一篇博客文章说,“值得注意的是,所有受到恶意软件感染的医疗组织都来自于北美地区,包含最近造成数百万医疗客户资料泄露的圣歌医疗保险(Anthem Health Insurance)和普瑞梅拉蓝十字(Premera Blue Cross)。虽然攻击已经停止,但隐写技术可能会成为网络犯罪分子用来发起医疗攻击的一种新技术,未来仍有可能会造成医疗记录的泄露。”
戴尔安全工作室和趋势科技的安全研究人员都一致认为,在图像文件中嵌入恶意代码逃避检测的做法是一种新趋势,未来将会更受攻击者的青睐。