安基網 首頁 資訊 安全報 查看內容

WAV音頻文件中隱藏惡意軟件

2019-10-18 07:59| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 作為最常見的聲音文件格式之一,WAV音頻文件勝在能夠提供無損模式。然而卻是最新的惡意軟件的藏身之處。WAV音頻文件暗藏后門研究人員發現來自俄羅斯的Tuela黑客組織,正在進行一項秘密的攻擊活動,他們通過WAV音頻文件將惡意后門安裝到受害者受感染的計算機上。惡意WAV文件可以通過多種方式傳遞,除了 ...
作為最常見的聲音文件格式之一,WAV音頻文件勝在能夠提供無損模式。

然而卻是最新的惡意軟件的藏身之處。

WAV音頻文件暗藏后門


研究人員發現來自俄羅斯的Tuela黑客組織,正在進行一項秘密的攻擊活動,他們通過WAV音頻文件將惡意后門安裝到受害者受感染的計算機上。

惡意WAV文件可以通過多種方式傳遞,除了垃圾郵件之外,還可以偽裝成官方電子郵件的盜版內容進行網絡下載,以此建立遠程訪問,秘密執行植入在音頻文件中惡意內容。

在這次攻擊中發現了兩個有效載荷,包括Metasploit和XMRig,這也代表著受害者的設備被用來執行加密劫持的同時還建立了命令和控制反向連接。

在用戶播放時,有些WAV格式的音樂并沒有明顯的質量問題或者毛刺,但部分文件會產生白噪聲,沒有音樂內容。

三種解碼方式


此外,植入后門的WAV文件使用三種不同的方法來解碼和執行惡意代碼:

  • 使用最低有效位(LSB)隱寫術解碼并執行PE文件
  • 那些使用基于rand()的算法來解碼和執行PE文件
  • 以及采用基于rand()的算法解碼和執行shellcode

這次攻擊手段較為新穎,使用了與此前完全不同的WAV文件,同時使用隱寫術以及其他編碼技術對代碼進行模糊處理,使得底層代碼僅在內存中顯示,能夠達到隱藏以避免檢測的效果。在這種情況下,攻擊者利用混淆視線來執行加密活動并立用于命令和控制的反向連接。

總體來說后果較為嚴重,因為任何攻擊者都可以使用類似的惡意工具和TTP。并且這只是攻擊的第一階段,不同的黑客可能使用相同的公開程序執行第二階段的攻擊。


* 本文由看雪編輯 LYA 編譯自 Threat post,轉載請注明來源及作者。

* 具體技術細節可參照此鏈接:

https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6748701084841148936/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧