根据最近几个月连续发布的两个安全报告,黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术(steganography),是一种将信息隐藏在另一种数据介质中的技术。
在软件领域,steganography也简称为“stego”,用于描述将文件或文本隐藏在其他格式的文件中的过程。例如,将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了,通常不会用来破坏或者感染设备,而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式(例如多媒体文件)列入白名单的安全软件。
以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式(例如PNG或JEPG)展开。最近发布的两份报告中的新颖之处在于发现黑客开始使用WAV音频文件,在今年开始被广泛使用。
早在今年6月份,就有报告检测到隐藏在WAV音频文件中的恶意程序活动。赛门铁克安全研究人员表示,他们发现了一个名为Waterbug(或Turla)的俄罗斯网络间谍组织,该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。
BlackBerry Cylance在本月发现了第二个恶意软件活动。在今天发布并上周与ZDNet共享的报告中,Cylance说它看到了与赛门铁克几个月前类似的东西。
但是,尽管赛门铁克报告描述了一个国家级的网络间谍活动,但Cylance表示,他们看到WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。Cylance说,这个特殊的威胁参与者正在将WAV音频文件中的隐藏DLL。
该黑客的使用WAV隐写技术用于挖矿,调用系统资源来挖掘加密货币。Lemos告诉ZDNet:“使用隐秘技术需要对目标文件格式有深入的了解。通常,复杂的威胁参与者希望长时间不被发现。
隐写术可以与任何文件格式一起使用,只要攻击者遵守该格式的结构和约束,这样对目标文件进行的任何修改都不会破坏其完整性。
换句话说,通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案,因为这样最后的结果是许多流行格式都下载不了,例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。