| 導讀 | 儘管隱寫術是一種低頻***途徑,但網絡犯罪分子已經開始利用它結合社交媒體的普遍性和快速傳播性來傳遞惡意有效負載。 |
低調但有效的隱寫技術雖然是舊把戲,但將代碼隱藏在看似正常的圖像中,還是可能逃脫許多網絡安全人員的法眼。
網絡安全的一大挑戰就是,過度關注某一類威脅,這意味着有可能被另一種威脅殺個措手不及,尤其是在我們的網絡和***面不斷擴大時,這種情況更嚴重。所以,除了威脅載體之外,我們還需要用整體的眼光關注威脅技術和威脅策略中的問題。總而言之,安全人員既要準備好隨時迎戰下一個0 day威脅,同時也不能對熟悉的常見漏洞放鬆警惕。
出於各種原因,尤其是爲了節省成本,網絡犯罪分子特別喜歡以換湯不換藥的方式反覆使用已有的惡意軟件。把現成的***工具修修補補,要比重新創建一個省事得多,如果技術好,調整後工具完全有可能騙過安全人員。Fortinet最近的一份報告發現,最近又活躍起來的隱寫術就是其中一個需要重點監控的 “舊把戲”。
當心被隱寫術騙了
保密技術貫穿了人類社會的通信歷史。密碼學是古代保密技藝中最着名的,不過隱寫術也有悠久而傳奇的歷史。隱寫術是一種加密技術,可以將某些內容——消息、代碼或其它內容 – 隱藏到其它載體中,例如數字照片或視頻,從而使其能夠以不避諱的方式傳遞。十多年前,隱寫術曾是向受害者傳播惡意軟件的常用手段,但近期的發展爲這種舊式***注入了新的活力。
如今,作爲奪旗(CTF)比賽的一部分,安全專業人員最常遇到隱寫術。最近的一個例子來自2018年的Hacktober.org CTF活動,其中標誌“TerrifyingKitty”嵌入在圖像中。這種策略很聰明,部分原因是因爲該技術已經非常老舊了,許多年輕的安全專業人員在尋求解決問題時甚至都不會考慮它。
然而,隱寫術的應用並不僅限於娛樂和遊戲。網絡***者再次開始將這種技術全面融入他們的***方案和工具中。最近的例子包括Sundown Exploit Kit和新的Vawtrak和Gatak / Stegoloader惡意軟件系列。
隱寫術之前逐漸過氣的原因之一是它通常不能用於高頻威脅(雖然殭屍網絡Vawtrak在2018年第四季度的活動非常頻繁)。由於這些威脅僅限於特定的交付機制,因此它們通常無法實現網絡犯罪分子希望達到的高***量,即使是Vawtrak的***量在一天內也從未超過十來家公司。因此,當FortiGuard實驗室的研究人員觀察到,使用隱寫術將惡意有效負載隱藏到在社交媒體上傳遞的表情包中,從而導致惡意軟件樣本激增時,他們的好奇心被激發了,故此他們對代碼進行了一些逆向工程操作,想一探究竟。
與幾乎所有其它惡意軟件一樣,嵌入在這些表情包中的惡意軟件首先嚐試聯繫命令和控制(C2)主機,然後下載與***相關的其它代碼或命令。不過,有趣的地方就在這裏。
這個惡意軟件不是直接接收命令,而是按照指令在相關聯的Twitter饋送中尋找附加圖像,下載這些圖像,然後提取隱藏在那些圖像內的命令以傳播其惡意活動。它通過搜索包含諸如/ print(屏幕截圖),/ processes(編寫正在運行的進程列表)和/ docs(從不同位置寫入文件列表)等修改值命令的圖像標記來完成此操作。
這種方法非常巧妙,因爲大多數安全流程都專注於識別和阻止受感染設備與C2服務器之間發送的通信和命令。這種獨特的隱藏方法表明,我們的對手在不斷嘗試如何能夠悄無聲息地達到***目的。利用社交媒體上共享的圖像,以及安全人員傳統的二維安全防護方法,就是很好的例證。
因此,儘管隱寫術是一種低頻***媒介,但網絡犯罪分子已經開始利用它結合社交媒體的普遍性和快速傳播性來傳遞惡意有效負載。在這種情況下,一個從小規模開始的***媒介 ,即使是在公司網絡之外,也可以快速擴展***範圍。Linux就該這麼學
這裏的難點在於無法專注於整個***頻譜。正如我們常說,壞人只需要做對一次,而安全人員一次都不能做錯。安全專業人員當然需要通過持續的網絡安全意識培訓來防範此類創新性***,但他們還需要確保整個***面上的透明可見性。對於許多組織而言,這就需要重新思考和重新設計其安全基礎架構。
雖然越來越多的破壞度指標(indicators of compromise)可用於檢測惡意隱寫代碼,但大多數情況下,隱寫***都是0 day威脅。因此必須能夠及時獲取最新的威脅情報和行爲分析,並結合自動化和AI技術,進而實現快速威脅響應,多管齊下纔能有效防禦隱寫威脅。
強化安全性的建議
回顧2018年的數據,要有效的應對當今不斷變化的威脅,需要打破“煙囪式”獨立防護系統,將許多傳統上不同的安全工具結合在一起,建立一種協作方法,幫助安全人員全面掌握網絡中狀況。
隨着現代網絡威脅的數量、速度和種類的增加,孤立的防護設備和平臺愈加顯得疲於應對。組織和企業需要一種更統一的防禦姿態,幫助公司在整個分佈式環境中的多個層檢測已知和未知威脅。如果能夠再與內部網絡分段策略相結合,組織不僅可以更好地檢測,還可以以自動化手段遏制網絡中橫向擴展的威脅。
針對本文中討論的威脅,實現強有力的反隱寫殺傷鏈需要包括以下工具: 使用威脅情報,以追蹤最近的隱寫技術和其它威脅創新。 觀察並測試可疑的隱寫模糊惡意軟件。 檢查可能隱藏惡意內容的應用程序和其它代碼。 阻止已知的隱寫消息流量。 加快更新漏洞補丁、更新升級和策略控制並確定其優先級。
安全人員需要隨時瞭解和跟蹤網絡中流行的和有破壞力的威脅,以保護其網絡免受應用程序***、惡意軟件、殭屍網絡和0 day漏洞(如隱寫技術)的影響。網絡安全領域從未有過沉悶的時刻,IT團隊必須不斷了解最新的威脅,包括以新形式重新出現的舊威脅,才能保證其網絡安全。