“密寫”技術(shù)在很多偵探小說和諜戰(zhàn)電影中經(jīng)常會出現(xiàn)。間諜用密寫藥水把情報寫在白紙上，收到情報的上級再通過顯影技術(shù)把情報還原出來。

[[120796]]

最近，戴爾SecurityWorks的安全研究人員Brett Stone-Gross發(fā)表了一個報告，發(fā)現(xiàn)了一個新型惡意軟件“潛伏”，這個惡意軟件的最大特點就是，把惡意代碼通過隱藏在BMP圖片的像素中以躲避殺毒軟件。

最近的銀行木馬 KINS 利用了一部分泄漏的 Zeus 木馬源代碼， 已經(jīng)在嘗試“密寫”技術(shù)。然而，KINS 的“密寫”技術(shù)還比較原始。只是把數(shù)據(jù)(配置文件或者命令)附加在圖片文件的尾部。這種技術(shù)對于現(xiàn)在的入侵防護系統(tǒng)( IPS )或者入侵檢測系統(tǒng)( IDS )來說，相對比較容易檢測到。而”潛伏“則是通過一種算法，把加密后的 URL嵌入圖片的像素中。這樣對于目前的IPS或者IDS來說將無法檢測出來。

“潛伏”主要任務(wù)是一個下載器，用來下載后續(xù)的惡意代碼，用來搭建一個進行點擊欺詐的僵尸網(wǎng)絡(luò)。“潛伏“的 DLL 資源區(qū)域帶有一個 BMP 位圖。而“潛伏”把 惡意代碼 的URL放在了每個像素的顏色字節(jié)的最低位上。這樣的話，從整個位圖來看，只是會有一些噪點，而殺毒軟件或者是以特征值為基礎(chǔ)的 IPS/IDS 則很難檢測出來。

此外，“潛伏”還會對系統(tǒng)的安全防護系統(tǒng)進行檢查，檢查系統(tǒng)是否安裝有 52 中殺毒軟件。如果檢測到其中的 21 種軟件，則“潛伏”不會去安裝下載的惡意代碼。如果不是的話，“潛伏”會把殺毒軟件的信息傳回給命令與控制服務(wù)器。

“潛伏”的發(fā)現(xiàn)是安全領(lǐng)域“道高一尺，魔高一丈”的又一個例子。前一段臭名昭著的贖金木馬Cryptolocker中采用了AES算法，以及僵尸網(wǎng)絡(luò)利用P2P技術(shù)進行去中心化，都說明，惡意軟件和僵尸網(wǎng)絡(luò)背后的網(wǎng)絡(luò)犯罪分子在盡一切努力對惡意代碼進行隱藏，或者對僵尸網(wǎng)絡(luò)進行強化。而“密寫”技術(shù)則是最近惡意軟件的新動向， 值得從事惡意軟件分析的人們多加關(guān)注。

關(guān)于隱寫術(shù)

http://baike.baidu.com/view/553273.htm?fr=aladdin

如果您想更加深入的研究隱寫術(shù)，您可以參考《數(shù)據(jù)隱藏技術(shù)揭秘》一書。

Brett Stone-Gross的分析報告

http://www.secureworks.com/cyber-threat-intelligence/threats/malware-analysis-of-the-lurk-downloader/

注：第一張圖中隱藏了key，你發(fā)現(xiàn)了嗎?(來自西電第五屆全國網(wǎng)絡(luò)安全大賽)