黑客攻擊手法不斷翻新。近日安全廠商發現,WAV音訊檔也可以被用來散布惡意程式。
過去黑客經常將惡意程式藏在非文件檔案中,像是圖檔中散布,這種攻擊手法稱為圖像隱碼術(Steganography)。以前看到的例子都是利用.JPEG或.PNG檔,不過最近包括賽門鐵克和BlackBerry的Cylance威脅研究中心研究人員,分別發現連WAV檔也被用作此類攻擊。
賽門鐵克6月公布,近日名為Turla或Waterbug的俄黑客組織發動多次攻擊,其中一次是將后門程序Meterpreter編碼成.WAV檔案型態,以避免防毒軟件的偵測。而在過去的研究中,Turla被認為和俄有關。這也是安全研究界第一次發現圖像隱碼術(Steganography)使用.WAV檔。

周三Cylance部門研究人員也在一家企業電腦發現數次惡意行動,黑客將惡意檔案混在Wav檔案中。這些檔案乍看無害,但在不知情用戶執行時,可和原先已在用戶環境中的下載程序(loader)作用以釋放出惡意程式。其中一個.wav檔使用了最低有效位(Least SignificantBit,LSB)手法,以僅4 byte資料和下載器互動后釋出Monero挖礦軟件XMRig,目的利用企業的CPU運算資源來挖礦。另外二個.wav檔則會釋放出Metaploit代碼,可用來建立逆向shell,分別經由逆向TCP及逆向HTTP連線連向外部服務器,以接受攻擊指令。
研究人員認為這些手法和現有黑客組織(包括賽門鐵克發現的Turla)很類似,顯示正在進行攻擊模擬,同時也代表黑客已發展出避免被偵測的新手法。
資料來源:iThome Security