盡管隱寫術(shù)是一種低頻攻擊途徑，但網(wǎng)絡(luò)犯罪分子已經(jīng)開始利用它結(jié)合社交媒體的普遍性和快速傳播性來(lái)傳遞惡意有效負(fù)載。

[[261664]]

低調(diào)但有效的隱寫技術(shù)雖然是舊把戲，但將代碼隱藏在看似正常的圖像中，還是可能逃脫許多網(wǎng)絡(luò)安全人員的法眼。

網(wǎng)絡(luò)安全的一大挑戰(zhàn)就是，過(guò)度關(guān)注某一類威脅，這意味著有可能被另一種威脅殺個(gè)措手不及，尤其是在我們的網(wǎng)絡(luò)和攻擊面不斷擴(kuò)大時(shí)，這種情況更嚴(yán)重。所以，除了威脅載體之外，我們還需要用整體的眼光關(guān)注威脅技術(shù)和威脅策略中的問(wèn)題?？偠灾?，安全人員既要準(zhǔn)備好隨時(shí)迎戰(zhàn)下一個(gè)0 day威脅，同時(shí)也不能對(duì)熟悉的常見漏洞放松警惕。

出于各種原因，尤其是為了節(jié)省成本，網(wǎng)絡(luò)犯罪分子特別喜歡以換湯不換藥的方式反復(fù)使用已有的惡意軟件。把現(xiàn)成的攻擊工具修修補(bǔ)補(bǔ)，要比重新創(chuàng)建一個(gè)省事得多，如果技術(shù)好，調(diào)整后工具完全有可能騙過(guò)安全人員。Fortinet最近的一份報(bào)告發(fā)現(xiàn)，最近又活躍起來(lái)的隱寫術(shù)就是其中一個(gè)需要重點(diǎn)監(jiān)控的 “舊把戲”。

當(dāng)心被隱寫術(shù)騙了

保密技術(shù)貫穿了人類社會(huì)的通信歷史。密碼學(xué)是古代保密技藝中最著名的，不過(guò)隱寫術(shù)也有悠久而傳奇的歷史。隱寫術(shù)是一種加密技術(shù)，可以將某些內(nèi)容——消息、代碼或其它內(nèi)容 – 隱藏到其它載體中，例如數(shù)字照片或視頻，從而使其能夠以不避諱的方式傳遞。十多年前，隱寫術(shù)曾是向受害者傳播惡意軟件的常用手段，但近期的發(fā)展為這種舊式攻擊注入了新的活力。

如今，作為奪旗（CTF）比賽的一部分，安全專業(yè)人員最常遇到隱寫術(shù)。最近的一個(gè)例子來(lái)自2018年的Hacktober.org CTF活動(dòng)，其中標(biāo)志“TerrifyingKitty”嵌入在圖像中。這種策略很聰明，部分原因是因?yàn)樵摷夹g(shù)已經(jīng)非常老舊了，許多年輕的安全專業(yè)人員在尋求解決問(wèn)題時(shí)甚至都不會(huì)考慮它。

然而，隱寫術(shù)的應(yīng)用并不僅限于娛樂(lè)和游戲。網(wǎng)絡(luò)攻擊者再次開始將這種技術(shù)全面融入他們的攻擊方案和工具中。最近的例子包括Sundown Exploit Kit和新的Vawtrak和Gatak / Stegoloader惡意軟件系列。

隱寫術(shù)之前逐漸過(guò)氣的原因之一是它通常不能用于高頻威脅（雖然僵尸網(wǎng)絡(luò)Vawtrak在2018年第四季度的活動(dòng)非常頻繁）。由于這些威脅僅限于特定的交付機(jī)制，因此它們通常無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)犯罪分子希望達(dá)到的高攻擊量，即使是Vawtrak的攻擊量在一天內(nèi)也從未超過(guò)十來(lái)家公司。因此，當(dāng)FortiGuard實(shí)驗(yàn)室的研究人員觀察到，使用隱寫術(shù)將惡意有效負(fù)載隱藏到在社交媒體上傳遞的表情包中，從而導(dǎo)致惡意軟件樣本激增時(shí)，他們的好奇心被激發(fā)了，故此他們對(duì)代碼進(jìn)行了一些逆向工程操作，想一探究竟。

與幾乎所有其它惡意軟件一樣，嵌入在這些表情包中的惡意軟件首先嘗試聯(lián)系命令和控制（C2）主機(jī)，然后下載與攻擊相關(guān)的其它代碼或命令。不過(guò)，有趣的地方就在這里。

這個(gè)惡意軟件不是直接接收命令，而是按照指令在相關(guān)聯(lián)的Twitter饋送中尋找附加圖像，下載這些圖像，然后提取隱藏在那些圖像內(nèi)的命令以傳播其惡意活動(dòng)。它通過(guò)搜索包含諸如/ print（屏幕截圖），/ processes（編寫正在運(yùn)行的進(jìn)程列表）和/ docs（從不同位置寫入文件列表）等修改值命令的圖像標(biāo)記來(lái)完成此操作。

這種方法非常巧妙，因?yàn)榇蠖鄶?shù)安全流程都專注于識(shí)別和阻止受感染設(shè)備與C2服務(wù)器之間發(fā)送的通信和命令。這種獨(dú)特的隱藏方法表明，我們的對(duì)手在不斷嘗試如何能夠悄無(wú)聲息地達(dá)到攻擊目的。利用社交媒體上共享的圖像，以及安全人員傳統(tǒng)的二維安全防護(hù)方法，就是很好的例證。

因此，盡管隱寫術(shù)是一種低頻攻擊媒介，但網(wǎng)絡(luò)犯罪分子已經(jīng)開始利用它結(jié)合社交媒體的普遍性和快速傳播性來(lái)傳遞惡意有效負(fù)載。在這種情況下，一個(gè)從小規(guī)模開始的攻擊媒介 ，即使是在公司網(wǎng)絡(luò)之外，也可以快速擴(kuò)展攻擊范圍。

這里的難點(diǎn)在于無(wú)法專注于整個(gè)攻擊頻譜。正如我們常說(shuō)，壞人只需要做對(duì)一次，而安全人員一次都不能做錯(cuò)。安全專業(yè)人員當(dāng)然需要通過(guò)持續(xù)的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)來(lái)防范此類創(chuàng)新性攻擊，但他們還需要確保整個(gè)攻擊面上的透明可見性。對(duì)于許多組織而言，這就需要重新思考和重新設(shè)計(jì)其安全基礎(chǔ)架構(gòu)。

雖然越來(lái)越多的破壞度指標(biāo)（indicators of compromise）可用于檢測(cè)惡意隱寫代碼，但大多數(shù)情況下，隱寫攻擊都是0 day威脅。因此必須能夠及時(shí)獲取最新的威脅情報(bào)和行為分析，并結(jié)合自動(dòng)化和AI技術(shù)，進(jìn)而實(shí)現(xiàn)快速威脅響應(yīng)，多管齊下才能有效防御隱寫威脅。

強(qiáng)化安全性的建議

回顧2018年的數(shù)據(jù)，要有效的應(yīng)對(duì)當(dāng)今不斷變化的威脅，需要打破“煙囪式”獨(dú)立防護(hù)系統(tǒng)，將許多傳統(tǒng)上不同的安全工具結(jié)合在一起，建立一種協(xié)作方法，幫助安全人員全面掌握網(wǎng)絡(luò)中狀況。

隨著現(xiàn)代網(wǎng)絡(luò)威脅的數(shù)量、速度和種類的增加，孤立的防護(hù)設(shè)備和平臺(tái)愈加顯得疲于應(yīng)對(duì)。組織和企業(yè)需要一種更統(tǒng)一的防御姿態(tài)，幫助公司在整個(gè)分布式環(huán)境中的多個(gè)層檢測(cè)已知和未知威脅。如果能夠再與內(nèi)部網(wǎng)絡(luò)分段策略相結(jié)合，組織不僅可以更好地檢測(cè)，還可以以自動(dòng)化手段遏制網(wǎng)絡(luò)中橫向擴(kuò)展的威脅。

• 針對(duì)本文中討論的威脅，實(shí)現(xiàn)強(qiáng)有力的反隱寫殺傷鏈需要包括以下工具：
• 使用威脅情報(bào)，以追蹤最近的隱寫技術(shù)和其它威脅創(chuàng)新。
• 觀察并測(cè)試可疑的隱寫模糊惡意軟件。
• 檢查可能隱藏惡意內(nèi)容的應(yīng)用程序和其它代碼。
• 阻止已知的隱寫消息流量。
• ·加快更新漏洞補(bǔ)丁、更新升級(jí)和策略控制并確定其優(yōu)先級(jí)。

安全人員需要隨時(shí)了解和跟蹤網(wǎng)絡(luò)中流行的和有破壞力的威脅，以保護(hù)其網(wǎng)絡(luò)免受應(yīng)用程序攻擊、惡意軟件、僵尸網(wǎng)絡(luò)和0 day漏洞（如隱寫技術(shù)）的影響。網(wǎng)絡(luò)安全領(lǐng)域從未有過(guò)沉悶的時(shí)刻，IT團(tuán)隊(duì)必須不斷了解最新的威脅，包括以新形式重新出現(xiàn)的舊威脅，才能保證其網(wǎng)絡(luò)安全。