一種最早出現(xiàn)在2012年名叫Stegoloader的木馬，在最近幾個(gè)月里死灰復(fù)燃，主要以美國(guó)的醫(yī)療組織為攻擊目標(biāo)。這是一種將惡意代碼隱藏在PNG圖片文件內(nèi)部的計(jì)算機(jī)木馬，使用數(shù)字隱寫技術(shù)繞過計(jì)算機(jī)和網(wǎng)絡(luò)防御系統(tǒng)。

據(jù)戴爾安全工作室(Dell SecureWorks)最近的一份報(bào)告顯示，盡管該木馬主要是用來從被感染的系統(tǒng)中竊取文件、信息和密碼，但卻包含著能夠進(jìn)行功能擴(kuò)展的擴(kuò)展模塊。

在Stegoloader感染過程中，臨時(shí)部署組件會(huì)從互聯(lián)網(wǎng)上下載一個(gè)功能性的PNG文件。在PNG文件的像素內(nèi)部，隱藏著少量可以提取出來用于重建木馬主模塊的加密代碼。PNG圖像和木馬主模塊都不會(huì)保存在磁盤上，整個(gè)過程只是在計(jì)算機(jī)的內(nèi)存中進(jìn)行，木馬也是直接加載到內(nèi)存中。

近幾年來，包括網(wǎng)絡(luò)間諜組織在內(nèi)的惡意軟件作者越來越多地開始使用無文件組件技術(shù)，讓惡意軟件更加難以檢測(cè)和排查。

利用數(shù)字隱寫技術(shù)隱藏惡意代碼雖然并不是什么新鮮事物，但該技術(shù)的使用卻越來越多，其目的就是繞過檢測(cè)進(jìn)出網(wǎng)絡(luò)內(nèi)容流的網(wǎng)絡(luò)級(jí)惡意軟件掃描工具。

據(jù)殺毒廠商趨勢(shì)科技統(tǒng)計(jì)數(shù)據(jù)，在過去三個(gè)月間，檢測(cè)到的Stegoloader木馬感染主要集中在醫(yī)療、金融和制造業(yè)組織。超過66%的被感染者來自美國(guó)。

趨勢(shì)科技的研究人員周三在一篇博客文章說，“值得注意的是，所有受到惡意軟件感染的醫(yī)療組織都來自于北美地區(qū)，包含最近造成數(shù)百萬醫(yī)療客戶資料泄露的圣歌醫(yī)療保險(xiǎn)(Anthem Health Insurance)和普瑞梅拉藍(lán)十字(Premera Blue Cross)。雖然攻擊已經(jīng)停止，但隱寫技術(shù)可能會(huì)成為網(wǎng)絡(luò)犯罪分子用來發(fā)起醫(yī)療攻擊的一種新技術(shù)，未來仍有可能會(huì)造成醫(yī)療記錄的泄露。”

戴爾安全工作室和趨勢(shì)科技的安全研究人員都一致認(rèn)為，在圖像文件中嵌入惡意代碼逃避檢測(cè)的做法是一種新趨勢(shì)，未來將會(huì)更受攻擊者的青睞。

原文地址：http://www.aqniu.com/tools/8329.html