一種最早出現(xiàn)在2012年名叫Stegoloader的木馬，在最近幾個月里死灰復燃，主要以美國的醫(yī)療組織為攻擊目標。這是一種將惡意代碼隱藏在PNG圖片文件內(nèi)部的計算機木馬，使用數(shù)字隱寫技術(shù)繞過計算機和網(wǎng)絡防御系統(tǒng)。

據(jù)戴爾安全工作室(Dell SecureWorks)最近的一份報告顯示，盡管該木馬主要是用來從被感染的系統(tǒng)中竊取文件、信息和密碼，但卻包含著能夠進行功能擴展的擴展模塊。

在Stegoloader感染過程中，臨時部署組件會從互聯(lián)網(wǎng)上下載一個功能性的PNG文件。在PNG文件的像素內(nèi)部，隱藏著少量可以提取出來用于重建木馬主模塊的加密代碼。PNG圖像和木馬主模塊都不會保存在磁盤上，整個過程只是在計算機的內(nèi)存中進行，木馬也是直接加載到內(nèi)存中。

近幾年來，包括網(wǎng)絡間諜組織在內(nèi)的惡意軟件作者越來越多地開始使用無文件組件技術(shù)，讓惡意軟件更加難以檢測和排查。

利用數(shù)字隱寫技術(shù)隱藏惡意代碼雖然并不是什么新鮮事物，但該技術(shù)的使用卻越來越多，其目的就是繞過檢測進出網(wǎng)絡內(nèi)容流的網(wǎng)絡級惡意軟件掃描工具。

據(jù)殺毒廠商趨勢科技統(tǒng)計數(shù)據(jù)，在過去三個月間，檢測到的Stegoloader木馬感染主要集中在醫(yī)療、金融和制造業(yè)組織。超過66%的被感染者來自美國。

趨勢科技的研究人員周三在一篇博客文章說，“值得注意的是，所有受到惡意軟件感染的醫(yī)療組織都來自于北美地區(qū)，包含最近造成數(shù)百萬醫(yī)療客戶資料泄露的圣歌醫(yī)療保險(Anthem Health Insurance)和普瑞梅拉藍十字(Premera Blue Cross)。雖然攻擊已經(jīng)停止，但隱寫技術(shù)可能會成為網(wǎng)絡犯罪分子用來發(fā)起醫(yī)療攻擊的一種新技術(shù)，未來仍有可能會造成醫(yī)療記錄的泄露。”

戴爾安全工作室和趨勢科技的安全研究人員都一致認為，在圖像文件中嵌入惡意代碼逃避檢測的做法是一種新趨勢，未來將會更受攻擊者的青睞。

原文地址：http://www.aqniu.com/tools/8329.html