安基网 首页 资讯 安全报 查看内容

WAV音频文件中隐藏恶意软件

2019-10-18 07:59| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 作为最常见的声音文件格式之一,WAV音频文件胜在能够提供无损模式。然而却是最新的恶意软件的藏身之处。WAV音频文件暗藏后门研究人员发现来自俄罗斯的Tuela黑客组织,正在进行一项秘密的攻击活动,他们通过WAV音频文件将恶意后门安装到受害者受感染的计算机上。恶意WAV文件可以通过多种方式传递,除了 ...
作为最常见的声音文件格式之一,WAV音频文件胜在能够提供无损模式。

然而却是最新的恶意软件的藏身之处。

WAV音频文件暗藏后门


研究人员发现来自俄罗斯的Tuela黑客组织,正在进行一项秘密的攻击活动,他们通过WAV音频文件将恶意后门安装到受害者受感染的计算机上。

恶意WAV文件可以通过多种方式传递,除了垃圾邮件之外,还可以伪装成官方电子邮件的盗版内容进行网络下载,以此建立远程访问,秘密执行植入在音频文件中恶意内容。

在这次攻击中发现了两个有效载荷,包括Metasploit和XMRig,这也代表着受害者的设备被用来执行加密劫持的同时还建立了命令和控制反向连接。

在用户播放时,有些WAV格式的音乐并没有明显的质量问题或者毛刺,但部分文件会产生白噪声,没有音乐内容。

三种解码方式


此外,植入后门的WAV文件使用三种不同的方法来解码和执行恶意代码:

  • 使用最低有效位(LSB)隐写术解码并执行PE文件
  • 那些使用基于rand()的算法来解码和执行PE文件
  • 以及采用基于rand()的算法解码和执行shellcode

这次攻击手段较为新颖,使用了与此前完全不同的WAV文件,同时使用隐写术以及其他编码技术对代码进行模糊处理,使得底层代码仅在内存中显示,能够达到隐藏以避免检测的效果。在这种情况下,攻击者利用混淆视线来执行加密活动并立用于命令和控制的反向连接。

总体来说后果较为严重,因为任何攻击者都可以使用类似的恶意工具和TTP。并且这只是攻击的第一阶段,不同的黑客可能使用相同的公开程序执行第二阶段的攻击。


* 本文由看雪编辑 LYA 编译自 Threat post,转载请注明来源及作者。

* 具体技术细节可参照此链接:

https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6748701084841148936/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部