我原本认为,在听音乐这件事上,最不需要的就是提心吊胆了。直到又一例隐藏恶意代码的wav音频文件曝光,隐写术的魔爪终于从png和jpg伸向wav文件。
10月17日,BlackBerry Cylance威胁研究人员最新发现:wav音频文件中嵌入模糊恶意代码。
播放时,你听到的wav文件发出的音乐没有明显的毛刺或质量问题,甚至还有点动听。背地里,音频加载程序解码并执行音频数据中的恶意代码,目标很清晰,就是挖矿。
无独有偶,俄罗斯Turla也用过这一招。今年6月,俄罗斯网络间谍组织Turla就创意性地将恶意代码隐藏在W**音频文件中并传输至攻击目标,这也是全球首个用W**文件传播恶意代码的攻击活动。有点不同的是,人家Turla组织不挖矿,而是用W**音频文件发起的国家级攻击活动,直接指向网络间谍入侵。
Turla组织颠覆了以往文本、图片、链接等形式的局限,拉开了用W**音频文件传播恶意代码的大幕。
继Turla组织的间谍行动后,其他黑客也效仿了起来。
BlackBerry Cylance所发现的是全球首例用W**音频隐写术加密挖矿的网络攻击。受感染主机在下载并使用特定wav加载程序加载W**文件后,会绕开电脑杀毒软件与防火墙,安装XMRrig加密货币矿工应用程序,变身“挖矿机”。
BlackBerry Cylance研究与情报副总裁还补充说,现在Windows桌面和服务器上都发现这种隐写恶意代码的W**文件。简言之,个人及企业用户已暴露在了隐写术加持下的恶意攻击威胁中。
什么是隐写术?
安全员都知道,隐写术就是指将信息隐藏在另一种数据介质中的技术。例如,将纯文本隐藏在图像中,又例如将恶意代码隐藏在音频中。
这挺鸡贼的,因为通过这种手段,暗藏恶意代码的文件就可以躲开安全软件的查杀拦截,甚至“洗白”享受白名单待遇,长久潜伏而不被发现。
隐写术在恶意程序开发中已经流行了十多年,最近开始,隐写术开始从PNG、JPG图片蔓延至W**音频文件。
我们以BlackberryCylance披露的报告威力进行分析,这类wav文件加载器可以分为以下三类:
采用最低有效位(LSB)隐写术的加载程序解码并执行PE文件。
加载程序采用基于rand()的解码算法来解码和执行PE文件。
加载程序采用基于rand()的解码算法来解码和执行shellcode。