隱寫術(shù)卷土重來——將惡意軟件有效負載寫入圖片文件
盡管隱寫術(shù)是一種低頻攻擊途徑,但網(wǎng)絡(luò)犯罪分子已經(jīng)開始利用它結(jié)合社交媒體的普遍性和快速傳播性來傳遞惡意有效負載。
低調(diào)但有效的隱寫技術(shù)雖然是舊把戲,但將代碼隱藏在看似正常的圖像中,還是可能逃脫許多網(wǎng)絡(luò)安全人員的法眼。
網(wǎng)絡(luò)安全的一大挑戰(zhàn)就是,過度關(guān)注某一類威脅,這意味著有可能被另一種威脅殺個措手不及,尤其是在我們的網(wǎng)絡(luò)和攻擊面不斷擴大時,這種情況更嚴重。所以,除了威脅載體之外,我們還需要用整體的眼光關(guān)注威脅技術(shù)和威脅策略中的問題。總而言之,安全人員既要準備好隨時迎戰(zhàn)下一個0 day威脅,同時也不能對熟悉的常見漏洞放松警惕。
出于各種原因,尤其是為了節(jié)省成本,網(wǎng)絡(luò)犯罪分子特別喜歡以換湯不換藥的方式反復(fù)使用已有的惡意軟件。把現(xiàn)成的攻擊工具修修補補,要比重新創(chuàng)建一個省事得多,如果技術(shù)好,調(diào)整后工具完全有可能騙過安全人員。Fortinet最近的一份報告發(fā)現(xiàn),最近又活躍起來的隱寫術(shù)就是其中一個需要重點監(jiān)控的 “舊把戲”。
當心被隱寫術(shù)騙了
保密技術(shù)貫穿了人類社會的通信歷史。密碼學(xué)是古代保密技藝中最著名的,不過隱寫術(shù)也有悠久而傳奇的歷史。隱寫術(shù)是一種加密技術(shù),可以將某些內(nèi)容——消息、代碼或其它內(nèi)容 – 隱藏到其它載體中,例如數(shù)字照片或視頻,從而使其能夠以不避諱的方式傳遞。十多年前,隱寫術(shù)曾是向受害者傳播惡意軟件的常用手段,但近期的發(fā)展為這種舊式攻擊注入了新的活力。
如今,作為奪旗(CTF)比賽的一部分,安全專業(yè)人員最常遇到隱寫術(shù)。最近的一個例子來自2018年的Hacktober.org CTF活動,其中標志“TerrifyingKitty”嵌入在圖像中。這種策略很聰明,部分原因是因為該技術(shù)已經(jīng)非常老舊了,許多年輕的安全專業(yè)人員在尋求解決問題時甚至都不會考慮它。
然而,隱寫術(shù)的應(yīng)用并不僅限于娛樂和游戲。網(wǎng)絡(luò)攻擊者再次開始將這種技術(shù)全面融入他們的攻擊方案和工具中。最近的例子包括Sundown Exploit Kit和新的Vawtrak和Gatak / Stegoloader惡意軟件系列。
隱寫術(shù)之前逐漸過氣的原因之一是它通常不能用于高頻威脅(雖然僵尸網(wǎng)絡(luò)Vawtrak在2018年第四季度的活動非常頻繁)。由于這些威脅僅限于特定的交付機制,因此它們通常無法實現(xiàn)網(wǎng)絡(luò)犯罪分子希望達到的高攻擊量,即使是Vawtrak的攻擊量在一天內(nèi)也從未超過十來家公司。因此,當FortiGuard實驗室的研究人員觀察到,使用隱寫術(shù)將惡意有效負載隱藏到在社交媒體上傳遞的表情包中,從而導(dǎo)致惡意軟件樣本激增時,他們的好奇心被激發(fā)了,故此他們對代碼進行了一些逆向工程操作,想一探究竟。
與幾乎所有其它惡意軟件一樣,嵌入在這些表情包中的惡意軟件首先嘗試聯(lián)系命令和控制(C2)主機,然后下載與攻擊相關(guān)的其它代碼或命令。不過,有趣的地方就在這里。
這個惡意軟件不是直接接收命令,而是按照指令在相關(guān)聯(lián)的Twitter饋送中尋找附加圖像,下載這些圖像,然后提取隱藏在那些圖像內(nèi)的命令以傳播其惡意活動。它通過搜索包含諸如/ print(屏幕截圖),/ processes(編寫正在運行的進程列表)和/ docs(從不同位置寫入文件列表)等修改值命令的圖像標記來完成此操作。
這種方法非常巧妙,因為大多數(shù)安全流程都專注于識別和阻止受感染設(shè)備與C2服務(wù)器之間發(fā)送的通信和命令。這種獨特的隱藏方法表明,我們的對手在不斷嘗試如何能夠悄無聲息地達到攻擊目的。利用社交媒體上共享的圖像,以及安全人員傳統(tǒng)的二維安全防護方法,就是很好的例證。
因此,盡管隱寫術(shù)是一種低頻攻擊媒介,但網(wǎng)絡(luò)犯罪分子已經(jīng)開始利用它結(jié)合社交媒體的普遍性和快速傳播性來傳遞惡意有效負載。在這種情況下,一個從小規(guī)模開始的攻擊媒介 ,即使是在公司網(wǎng)絡(luò)之外,也可以快速擴展攻擊范圍。
這里的難點在于無法專注于整個攻擊頻譜。正如我們常說,壞人只需要做對一次,而安全人員一次都不能做錯。安全專業(yè)人員當然需要通過持續(xù)的網(wǎng)絡(luò)安全意識培訓(xùn)來防范此類創(chuàng)新性攻擊,但他們還需要確保整個攻擊面上的透明可見性。對于許多組織而言,這就需要重新思考和重新設(shè)計其安全基礎(chǔ)架構(gòu)。
雖然越來越多的破壞度指標(indicators of compromise)可用于檢測惡意隱寫代碼,但大多數(shù)情況下,隱寫攻擊都是0 day威脅。因此必須能夠及時獲取最新的威脅情報和行為分析,并結(jié)合自動化和AI技術(shù),進而實現(xiàn)快速威脅響應(yīng),多管齊下才能有效防御隱寫威脅。
強化安全性的建議
回顧2018年的數(shù)據(jù),要有效的應(yīng)對當今不斷變化的威脅,需要打破“煙囪式”獨立防護系統(tǒng),將許多傳統(tǒng)上不同的安全工具結(jié)合在一起,建立一種協(xié)作方法,幫助安全人員全面掌握網(wǎng)絡(luò)中狀況。
隨著現(xiàn)代網(wǎng)絡(luò)威脅的數(shù)量、速度和種類的增加,孤立的防護設(shè)備和平臺愈加顯得疲于應(yīng)對。組織和企業(yè)需要一種更統(tǒng)一的防御姿態(tài),幫助公司在整個分布式環(huán)境中的多個層檢測已知和未知威脅。如果能夠再與內(nèi)部網(wǎng)絡(luò)分段策略相結(jié)合,組織不僅可以更好地檢測,還可以以自動化手段遏制網(wǎng)絡(luò)中橫向擴展的威脅。
- 針對本文中討論的威脅,實現(xiàn)強有力的反隱寫殺傷鏈需要包括以下工具:
- 使用威脅情報,以追蹤最近的隱寫技術(shù)和其它威脅創(chuàng)新。
- 觀察并測試可疑的隱寫模糊惡意軟件。
- 檢查可能隱藏惡意內(nèi)容的應(yīng)用程序和其它代碼。
- 阻止已知的隱寫消息流量。
- ·加快更新漏洞補丁、更新升級和策略控制并確定其優(yōu)先級。
安全人員需要隨時了解和跟蹤網(wǎng)絡(luò)中流行的和有破壞力的威脅,以保護其網(wǎng)絡(luò)免受應(yīng)用程序攻擊、惡意軟件、僵尸網(wǎng)絡(luò)和0 day漏洞(如隱寫技術(shù))的影響。網(wǎng)絡(luò)安全領(lǐng)域從未有過沉悶的時刻,IT團隊必須不斷了解最新的威脅,包括以新形式重新出現(xiàn)的舊威脅,才能保證其網(wǎng)絡(luò)安全。
