匯流新聞網記者紀沈廷/綜合報導
駭客過去多將惡意程式藏在JPEG或PNG檔中,但最近有研究人員發現有攻擊行動開始把惡意檔案混在WAV檔案中,或把編碼改成WAV檔案型態,藉此避免被防毒軟體偵測到,進而對受害者電腦植入後門或挖礦軟體。
依照過去的經歷,以前看到的駭客攻擊手法,比較會將惡意程式藏在非文件檔案中,像是藉由圖檔進行散布,而這攻擊手法又稱「圖像隱碼術(Steganography)」。過去發現的例子都是利用JPEG或PNG,但最近包含賽門鐵克、BlackBerry的Cylance威脅研究中心研究人員,都先後發現現在竟連WAV檔也被拿來當作攻擊的手段之一。
賽門鐵克先前曾公布,近日俄國有一個名叫Turla或Waterbug的駭客組織發動多起攻擊,其中一次是把後門程式Meterpreter編碼成.WAV檔案型態,藉此避開被防毒軟體偵測到;而在先前的研究中,Turla是被認為與俄國政府有關的駭客組織,同時這也是安全研究界首次發現圖像隱碼術(Steganography)使用.WAV檔。
另外,最近Cylance部門研究人員也發現,在一間企業電腦發現了多次的惡意行動,駭客特別把惡意檔案放進WAV檔案中,這些檔案看起來像是無害,卻在用戶不知情的情情況下執行後,就會跟原先已經在用戶環境中的下載程式相互作用後,放出惡意程式。當中一個WAV檔使用了最低有效位元(Least Significant Bit,LSB)手法,僅用4 byte資料跟下載器互動後釋出Monero挖礦軟體XMRig,其中背後目的是想藉由企業的CPU運算資源來挖礦
還有兩個WVA檔會釋出Metaploit程式碼,可以備用來建立逆向shell,各自經由逆向TCP及逆向HTTP連線連向外部伺服器,藉此接受攻擊指令。
研究人員認為這些手法和現有駭客組織(包括賽門鐵克發現的Turla)很類似,除了代表他們正在進行攻擊模擬外,似乎也表示駭客已發展出避免被偵測的新手法。
參考來源:CyberNews、ZDNet
照片來源:pixabay
更多匯流新聞網報導:
又有通訊軟體被攻擊?WhatsApp驚傳漏洞 駭客用惡意GIF檔控制帳號
【匯流筆陣】
CNEWS歡迎各界投書,來稿請寄至[email protected],並請附上真實姓名、聯絡方式與職業身份簡介。
CNEWS匯流新聞網:https://cnews.com.tw
【文章轉載請註明出處】