利用隱寫術實施攻擊

儘管隱寫術是一種低頻攻擊途徑,但網絡犯罪分子已經開始利用它結合社交媒體的廣泛性和快速傳播性來傳遞惡意有效負載。

利用隱寫術實施攻擊利用隱寫術實施攻擊

低調但有效的隱寫技術雖然是舊把戲,但將代碼隱藏在看似正常的圖像中,仍是可能逃脫許多網絡安全人員的法眼。
網絡安全的一大挑戰就是,過分關注某一類威脅,這意味着有可能被另外一種威脅殺個措手不及,尤爲是在咱們的網絡和攻擊面不斷擴大時,這種狀況更嚴重。因此,除了威脅載體以外,咱們還須要用總體的眼光關注威脅技術和威脅策略中的問題。總而言之,安全人員既要準備好隨時迎戰下一個0 day威脅,同時也不能對熟悉的常見漏洞放鬆警戒。
出於各類緣由,尤爲是爲了節省成本,網絡犯罪分子特別喜歡以換湯不換藥的方式反覆使用已有的惡意軟件。把現成的攻擊工具修修補補,要比從新建立一個省事得多,若是技術好,調整後工具徹底有可能騙過安全人員。Fortinet最近的一份報告發現,最近又活躍起來的隱寫術就是其中一個須要重點監控的 「舊把戲」。linux

小心被隱寫術騙了promise

保密技術貫穿了人類社會的通訊歷史。密碼學是古代保密技藝中最着名的,不過隱寫術也有悠久而傳奇的歷史。隱寫術是一種加密技術,能夠將某些內容——消息、代碼或其它內容 – 隱藏到其它載體中,例如數字照片或視頻,從而使其可以以不避諱的方式傳遞。十多年前,隱寫術曾是向受害者傳播惡意軟件的經常使用手段,但近期的發展爲這種舊式攻擊注入了新的活力。
現在,做爲奪旗(CTF)比賽的一部分,安全專業人員最常遇到隱寫術。最近的一個例子來自2018年的Hacktober.org CTF活動,其中標誌「TerrifyingKitty」嵌入在圖像中。這種策略很聰明,部分緣由是由於該技術已經很是老舊了,許多年輕的安全專業人員在尋求解決問題時甚至都不會考慮它。
然而,隱寫術的應用並不只限於娛樂和遊戲。網絡攻擊者再次開始將這種技術全面融入他們的攻擊方案和工具中。最近的例子包括Sundown Exploit Kit和新的Vawtrak和Gatak / Stegoloader惡意軟件系列。
隱寫術以前逐漸過氣的緣由之一是它一般不能用於高頻威脅(雖然僵屍網絡Vawtrak在2018年第四季度的活動很是頻繁)。因爲這些威脅僅限於特定的交付機制,所以它們一般沒法實現網絡犯罪分子但願達到的高攻擊量,即便是Vawtrak的攻擊量在一天內也從未超過十來家公司。所以,當FortiGuard實驗室的研究人員觀察到,使用隱寫術將惡意有效負載隱藏到在社交媒體上傳遞的表情包中,從而致使惡意軟件樣本激增時,他們的好奇心被激發了,故此他們對代碼進行了一些逆向工程操做,想一探究竟。
與幾乎全部其它惡意軟件同樣,嵌入在這些表情包中的惡意軟件首先嚐試聯繫命令和控制(C2)主機,而後下載與攻擊相關的其它代碼或命令。不過,有趣的地方就在這裏。
這個惡意軟件不是直接接收命令,而是按照指令在相關聯的Twitter饋送中尋找附加圖像,下載這些圖像,而後提取隱藏在那些圖像內的命令以傳播其惡意活動。它經過搜索包含諸如/ print(屏幕截圖),/ processes(編寫正在運行的進程列表)和/ docs(從不一樣位置寫入文件列表)等修改值命令的圖像標記來完成此操做。
這種方法很是巧妙,由於大多數安全流程都專一於識別和阻止受感染設備與C2服務器之間發送的通訊和命令。這種獨特的隱藏方法代表,咱們的對手在不斷嘗試如何可以悄無聲息地達到攻擊目的。利用社交媒體上共享的圖像,以及安全人員傳統的二維安全防禦方法,就是很好的例證。
所以,儘管隱寫術是一種低頻攻擊媒介,但網絡犯罪分子已經開始利用它結合社交媒體的廣泛性和快速傳播性來傳遞惡意有效負載。在這種狀況下,一個從小規模開始的攻擊媒介 ,即便是在公司網絡以外,也能夠快速擴展攻擊範圍。
這裏的難點在於沒法專一於整個攻擊頻譜。正如咱們常說,壞人只須要作對一次,而安全人員一次都不能作錯。安全專業人員固然須要經過持續的網絡安全意識培訓來防範此類創新性攻擊,但他們還須要確保整個攻擊面上的透明可見性。對於許多組織而言,這就須要從新思考和從新設計其安全基礎架構。
雖然愈來愈多的破壞度指標(indicators of compromise)可用於檢測惡意隱寫代碼,但大多數狀況下,隱寫攻擊都是0 day威脅。所以必須可以及時獲取最新的威脅情報和行爲分析,並結合自動化和AI技術,進而實現快速威脅響應,多管齊下才能有效防護隱寫威脅。安全

強化安全性的建議服務器

回顧2018年的數據,要有效的應對當今不斷變化的威脅,須要打破「煙囪式」獨立防禦系統,將許多傳統上不一樣的安全工具結合在一塊兒,創建一種協做方法,幫助安全人員全面掌握網絡中情況。
隨着現代網絡威脅的數量、速度和種類的增長,孤立的防禦設備和平臺越發顯得疲於應對。組織和企業須要一種更統一的防護姿態,幫助公司在整個分佈式環境中的多個層檢測已知和未知威脅。若是可以再與內部網絡分段策略相結合,組織不只能夠更好地檢測,還能夠以自動化手段遏制網絡中橫向擴展的威脅。網絡

針對本文中討論的威脅,實現強有力的反隱寫殺傷鏈須要包括如下工具:
使用威脅情報,以追蹤最近的隱寫技術和其它威脅創新。
觀察並測試可疑的隱寫模糊惡意軟件。
檢查可能隱藏惡意內容的應用程序和其它代碼。
阻止已知的隱寫消息流量。
加快更新漏洞補丁、更新升級和策略控制並肯定其優先級。

安全人員須要隨時瞭解和跟蹤網絡中流行的和有破壞力的威脅,以保護其網絡免受應用程序攻擊、惡意軟件、僵屍網絡和0 day漏洞(如隱寫技術)的影響。網絡安全領域從未有過沉悶的時刻,IT團隊必須不斷了解最新的威脅,包括以新形式從新出現的舊威脅,才能保證其網絡安全。架構

相關文章
相關標籤/搜索