據(jù)Cyber Security News消息，ANY.RUN 沙盒分析了一種被稱為Meterpreter 的新型后門惡意軟件，能利用復(fù)雜的隱寫技術(shù)將惡意有效載荷隱藏在看似無(wú)害的圖片文件中。

基于Meterpreter的攻擊從一個(gè)包含 PowerShell 腳本的 .NET 可執(zhí)行文件開(kāi)始，該腳本會(huì)從遠(yuǎn)程命令與控制 (C2) 服務(wù)器下載一張 PNG 圖片，該圖片可以是一張景色秀麗的風(fēng)景畫，但卻隱藏著惡意腳本。

惡意腳本使用 System.Drawing 庫(kù)和特定公式(149 & 15)*16)|| (83^15) = 83從圖像通道中計(jì)算出一個(gè)字節(jié)數(shù)組，該公式從圖像的前兩行綠色和藍(lán)色RGB色彩通道值中通過(guò)提取隱藏代碼而來(lái)。獲得字節(jié)數(shù)組后，惡意軟件會(huì)將其解碼為 ASCII 字符，從而顯示用戶代理字符串和惡意軟件將嘗試連接的 C2 服務(wù)器 IP 地址。

Meterpreter后門原理

通過(guò)這種連接，攻擊者可以發(fā)布命令，并有可能在未經(jīng)授權(quán)的情況下訪問(wèn)被入侵的系統(tǒng)。解碼后的信息會(huì)被轉(zhuǎn)換成腳本，由惡意軟件執(zhí)行，從而在受感染的機(jī)器上建立一個(gè)持久的后門。該后門可用于各種惡意活動(dòng)，如數(shù)據(jù)外滲、遠(yuǎn)程代碼執(zhí)行或在網(wǎng)絡(luò)中進(jìn)一步傳播惡意軟件。

隱寫術(shù)：惡意軟件傳播的有力武器

隱寫術(shù)是一種將信息隱藏在看似無(wú)害的數(shù)據(jù)中的做法，能夠繞過(guò)傳統(tǒng)的安全措施，通過(guò)在圖像、音頻文件或其他多媒體內(nèi)容中隱藏惡意代碼，在不被察覺(jué)的情況下發(fā)送有效載荷，目前正成為網(wǎng)絡(luò)犯罪分子日益青睞的技術(shù)，Meterpreter 后門活動(dòng)凸顯了現(xiàn)代惡意軟件作者的復(fù)雜性和適應(yīng)性。通過(guò)利用隱寫術(shù)，可以有效地隱藏其惡意活動(dòng)，使安全專業(yè)人員在識(shí)別和減輕威脅方面面臨更大的挑戰(zhàn)。

一位網(wǎng)絡(luò)安全專家表示，這一活動(dòng)凸顯了采用多層次安全方法的重要性，這種方法將傳統(tǒng)的基于簽名的檢測(cè)與行為分析和機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)相結(jié)合，要想在這些不斷變化的威脅面前保持領(lǐng)先，就必須時(shí)刻保持警惕，并采取積極主動(dòng)的網(wǎng)絡(luò)安全方法。