精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業(yè)動態(tài) → 正文

躲避殺軟小能手:隱藏于圖片中的惡意程序Stegoloader

責任編輯:editor005 作者:cindy |來源:企業(yè)網(wǎng)D1Net  2015-06-18 14:16:37 本文摘自:FreeBuf

戴爾SecureWorks的安全人員周一披露了一種名為Stegoloader的惡意程序,其隱藏于圖片文件中,同時采用多種方法躲避殺毒軟件的“追殺”。

躲避殺軟小能手:隱藏于圖片中的惡意程序Stegoloader

Stegoloader也叫Win32/Gatak.DR 及TSPY_GATAK.GTK,它是一款首次于2013年被發(fā)現(xiàn)的惡意程序,但當時并未引起人們的注意,主要是以為它的設(shè)計很隱秘,因此很多反病毒解決方案并不能檢測得到。信息隱藏技術(shù)是用來在另一信息或者圖像文件中隱藏信息的一種技術(shù)。惡意程序作者利用它在圖像文件中隱藏執(zhí)行代碼,在一系列的安全檢測實施完之后,他才會被提取出來并運行。這種隱藏技術(shù)還被其他的一些惡意程序家族利用,如Miniduke APT組織、Aulreon木馬、Lurk下載器。

機智的躲避殺毒軟件

戴爾安全研究員指出,Stegoloader攻擊首先會以一個部署模塊開始,然后再在受感染的設(shè)備上下載、發(fā)布程序的主模塊。

躲避方法1:

在部署其他的模塊之前,該惡意程序會檢查它不是處在(殺毒軟件的)調(diào)試環(huán)境中。例如,部署一個模塊監(jiān)視鼠標光標的移動情況,如果鼠標不停的變換位置或者永遠不變換位置,就說明當前環(huán)境有“貓膩”,惡意程序會立即終止所有惡意行為。

躲避方法2:

部署模塊會列出系統(tǒng)當前運行的進程,一旦發(fā)現(xiàn)某些安全工具的硬編碼字符,如Wireshark、Fiddler,它就不會在該系統(tǒng)上運行。如果沒有發(fā)現(xiàn)任何的安全威脅,它才會與C&C服務(wù)器連接,加密通信,下載含有惡意程序的PNG文件。

無論是PNG圖片還是解密后的代碼均不會存儲在磁盤上,這樣的話傳統(tǒng)基于磁盤的分析工具就很難發(fā)現(xiàn)該惡意程序。

主模塊功能

一旦主模塊成功在內(nèi)存中占據(jù)了一席之地,那情況就大不相同了。部署模塊就會終止,惡意程序開始與C&C服務(wù)器通信,接受一些指令,比如顯示系統(tǒng)詳細信息、列出被感染系統(tǒng)上安裝的程序、發(fā)送火狐、chrome、IE瀏覽器的歷史記錄、執(zhí)行shell代碼、停止執(zhí)行程序、休眠等。

如果Stegoloader搜集到的信息和某些條件匹配的話,網(wǎng)絡(luò)犯罪者就會進一步的配置其他的模塊,以執(zhí)行不同的任務(wù),如竊取IDA文件、訪問最近打開的文件、顯示主機的地理位置、釋放Pony密碼竊取程序等。

該惡意程序不是通過釣魚郵件方式傳播,而是通過感染第三方網(wǎng)站上的盜版軟件進行傳播,一旦受害者下載了該軟件就會被感染。目前發(fā)現(xiàn)受害者多為健康中心、教育機構(gòu)、制造業(yè)。戴爾的研究人員沒有在目標攻擊中發(fā)現(xiàn)有使用該惡意程序的,但是他們也沒能完全排除這種可能性。

擴展閱讀:一張圖片黑掉你:在圖片中嵌入惡意程序

印度Net-Square公司CEO、網(wǎng)絡(luò)安全專家Saumil Shah最近發(fā)現(xiàn)了一種攻擊方式:攻擊者可以把惡意程序?qū)懙揭粡埰胀ǖ膱D片文件里,人們只要打開看一眼這張看似普通的圖片,電腦就會被黑。技術(shù)原理Saumil Shah把這種隱藏惡意程序命名為Stegosploit。點我了解更多

關(guān)鍵字:惡意程序殺軟Stegoloader

本文摘自:FreeBuf

x 躲避殺軟小能手:隱藏于圖片中的惡意程序Stegoloader 掃一掃
分享本文到朋友圈
當前位置:安全行業(yè)動態(tài) → 正文

躲避殺軟小能手:隱藏于圖片中的惡意程序Stegoloader

責任編輯:editor005 作者:cindy |來源:企業(yè)網(wǎng)D1Net  2015-06-18 14:16:37 本文摘自:FreeBuf

戴爾SecureWorks的安全人員周一披露了一種名為Stegoloader的惡意程序,其隱藏于圖片文件中,同時采用多種方法躲避殺毒軟件的“追殺”。

躲避殺軟小能手:隱藏于圖片中的惡意程序Stegoloader

Stegoloader也叫Win32/Gatak.DR 及TSPY_GATAK.GTK,它是一款首次于2013年被發(fā)現(xiàn)的惡意程序,但當時并未引起人們的注意,主要是以為它的設(shè)計很隱秘,因此很多反病毒解決方案并不能檢測得到。信息隱藏技術(shù)是用來在另一信息或者圖像文件中隱藏信息的一種技術(shù)。惡意程序作者利用它在圖像文件中隱藏執(zhí)行代碼,在一系列的安全檢測實施完之后,他才會被提取出來并運行。這種隱藏技術(shù)還被其他的一些惡意程序家族利用,如Miniduke APT組織、Aulreon木馬、Lurk下載器。

機智的躲避殺毒軟件

戴爾安全研究員指出,Stegoloader攻擊首先會以一個部署模塊開始,然后再在受感染的設(shè)備上下載、發(fā)布程序的主模塊。

躲避方法1:

在部署其他的模塊之前,該惡意程序會檢查它不是處在(殺毒軟件的)調(diào)試環(huán)境中。例如,部署一個模塊監(jiān)視鼠標光標的移動情況,如果鼠標不停的變換位置或者永遠不變換位置,就說明當前環(huán)境有“貓膩”,惡意程序會立即終止所有惡意行為。

躲避方法2:

部署模塊會列出系統(tǒng)當前運行的進程,一旦發(fā)現(xiàn)某些安全工具的硬編碼字符,如Wireshark、Fiddler,它就不會在該系統(tǒng)上運行。如果沒有發(fā)現(xiàn)任何的安全威脅,它才會與C&C服務(wù)器連接,加密通信,下載含有惡意程序的PNG文件。

無論是PNG圖片還是解密后的代碼均不會存儲在磁盤上,這樣的話傳統(tǒng)基于磁盤的分析工具就很難發(fā)現(xiàn)該惡意程序。

主模塊功能

一旦主模塊成功在內(nèi)存中占據(jù)了一席之地,那情況就大不相同了。部署模塊就會終止,惡意程序開始與C&C服務(wù)器通信,接受一些指令,比如顯示系統(tǒng)詳細信息、列出被感染系統(tǒng)上安裝的程序、發(fā)送火狐、chrome、IE瀏覽器的歷史記錄、執(zhí)行shell代碼、停止執(zhí)行程序、休眠等。

如果Stegoloader搜集到的信息和某些條件匹配的話,網(wǎng)絡(luò)犯罪者就會進一步的配置其他的模塊,以執(zhí)行不同的任務(wù),如竊取IDA文件、訪問最近打開的文件、顯示主機的地理位置、釋放Pony密碼竊取程序等。

該惡意程序不是通過釣魚郵件方式傳播,而是通過感染第三方網(wǎng)站上的盜版軟件進行傳播,一旦受害者下載了該軟件就會被感染。目前發(fā)現(xiàn)受害者多為健康中心、教育機構(gòu)、制造業(yè)。戴爾的研究人員沒有在目標攻擊中發(fā)現(xiàn)有使用該惡意程序的,但是他們也沒能完全排除這種可能性。

擴展閱讀:一張圖片黑掉你:在圖片中嵌入惡意程序

印度Net-Square公司CEO、網(wǎng)絡(luò)安全專家Saumil Shah最近發(fā)現(xiàn)了一種攻擊方式:攻擊者可以把惡意程序?qū)懙揭粡埰胀ǖ膱D片文件里,人們只要打開看一眼這張看似普通的圖片,電腦就會被黑。技術(shù)原理Saumil Shah把這種隱藏惡意程序命名為Stegosploit。點我了解更多

關(guān)鍵字:惡意程序殺軟Stegoloader

本文摘自:FreeBuf

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 聊城市| 上林县| 华阴市| 胶南市| 晋城| 兴义市| 长沙市| 乌兰察布市| 泾川县| 重庆市| 陆丰市| 抚远县| 云南省| 桃源县| 老河口市| 县级市| 乌拉特后旗| 襄汾县| 连平县| 酒泉市| 安阳市| 得荣县| 马关县| 黑龙江省| 张家界市| 新源县| 长海县| 舟山市| 西城区| 明星| 忻州市| 临泽县| 新沂市| 盐津县| 黑山县| 沙洋县| 英吉沙县| 夏津县| 西昌市| 特克斯县| 五河县|