恶意软件 远程控制 恶意代码
常用的音频文件成为恶意代码最新藏身处
trAnsmAtion 2019-10-17 11:55:32 620人浏览

威胁研究人员发现,.WAV音频文件成为恶意代码的新藏身处,恶意内容秘密散布于音频文件中,其中隐藏了三个不同的加载程序和两个有效负载。

据威胁研究人员称,该嵌入式代码包含用于解码和执行恶意软件的三种不同的加载程序组件之一。用户可能很难发现:播放时,WAV文件产生的音乐没有明显的质量问题或毛刺,在某些情况下会产生静态白噪声。

在该活动中,发现了两个有效负载:一个XMRig / Monero CPU加密矿工和用于建立反向外壳的Metasploit代码。这表明该活动有两个目的,一是部署恶意软件以获取经济利益,二是在受害者网络内建立远程访问。而.WAV文件可以通过多种方式传播,从垃圾邮件或定向电子邮件到伪装成盗版内容的网络下载,不一而足。

根据分析,加载器会深入研究混淆的代码,分为三种不同的类型:那些使用最低有效位(LSB)隐写术解码并执行PE文件的加载器;那些使用基于rand()的解码算法来解码和执行PE文件的程序;以及采用基于rand()的解码算法解码和执行shellcode的代码。

研究人员解释说:“这些技术证明,可执行的内容理论上可以隐藏在任何文件类型中,只要攻击者不破坏容器格式的结构和处理。” “采用这种策略会增加一层混淆,因为底层代码仅在内存中显示,因此检测更具挑战性。”

第一类加载程序采用隐写术从WAV文件中提取可执行的XMRig内容。隐写术是在图像或音频文件中隐藏文件或消息的做法。据BlackBerry Cylance称,最低有效位(LSB)技术专门用于单个字节的最右位包含感兴趣的数据。这包括硬编码的字符串,用于指定要加载的文件名(“ Song.wav”),并在解码后导出用于执行(“启动”)矿机的函数。

加载程序的第二类使用基于rand()的解码算法来隐藏XMRig Monero CPU采矿机。与讨论的第一个WAV文件不同,该音频文件具有合法的标头,但播放时没有音乐,音频听起来像白噪声。

研究人员称,攻击者必须使用命令行(<Loader EXE> <WAV File> <Decoded PE File Entry Point>)来使用此技术。当使用上述WAV文件执行加载程序时,加载程序将读取该文件,在内存中提取一个DLL,然后尝试执行指定的入口点。

对于基于Rand()的Shellcode Loader,必须使用不同的命令行(<Loader EXE> <WAV File>),但是没有入口点是必需的,研究人员说。执行后,此加载程序将打开兼容的WAV文件,读取其数据,解码其内容,然后启动反向Shell到指定的IP地址。

使用三种不同的装载机和两种有效载荷表明了当前攻击者进行恶意行为的创新水平。

分析称:“攻击者在执行代码方面具有创造力,包括使用不同文件格式的多个文件。” “恶意软件作者结合使用了隐写术和其他编码技术来对代码进行模糊处理和执行。这些策略使攻击者可以隐藏其可执行内容,从而使检测成为一项艰巨的任务。在这种情况下,攻击者利用混淆来执行加密活动并建立用于命令和控制的反向连接。”