數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

盡管隐寫術(shù)是一種低(dī)頻攻擊途徑，但(dàn)網絡犯罪分子已經開(kāi)始利用它結合社交媒體(tǐ)的普遍性和(hé)快速傳播性來(lái)傳遞惡意有(yǒu)效負載。

低(dī)調但(dàn)有(yǒu)效的隐寫技(jì)術(shù)雖然是舊(jiù)把戲，但(dàn)将代碼隐藏在看似正常的圖像中，還(hái)是可(kě)能逃脫許多(duō)網絡安全人(rén)員的法眼。

網絡安全的一大(dà)挑戰就是，過度關注某一類威脅，這意味着有(yǒu)可(kě)能被另一種威脅殺個(gè)措手不及，尤其是在我們的網絡和(hé)攻擊面不斷擴大(dà)時(shí)，這種情況更嚴重。所以，除了威脅載體(tǐ)之外，我們還(hái)需要用整體(tǐ)的眼光關注威脅技(jì)術(shù)和(hé)威脅策略中的問題。總而言之，安全人(rén)員既要準備好随時(shí)迎戰下一個(gè)0 day威脅，同時(shí)也不能對熟悉的常見漏洞放松警惕。

出于各種原因，尤其是為(wèi)了節省成本，網絡犯罪分子特别喜歡以換湯不換藥的方式反複使用已有(yǒu)的惡意軟件。把現成的攻擊工具修修補補，要比重新創建一個(gè)省事得(de)多(duō)，如果技(jì)術(shù)好，調整後工具完全有(yǒu)可(kě)能騙過安全人(rén)員。Fortinet最近的一份報告發現，最近又活躍起來(lái)的隐寫術(shù)就是其中一個(gè)需要重點監控的 “舊(jiù)把戲”。

當心被隐寫術(shù)騙了

保密技(jì)術(shù)貫穿了人(rén)類社會(huì)的通(tōng)信曆史。密碼學是古代保密技(jì)藝中最着名的，不過隐寫術(shù)也有(yǒu)悠久而傳奇的曆史。隐寫術(shù)是一種加密技(jì)術(shù)，可(kě)以将某些(xiē)內(nèi)容——消息、代碼或其它內(nèi)容 – 隐藏到其它載體(tǐ)中，例如數(shù)字照片或視(shì)頻，從而使其能夠以不避諱的方式傳遞。十多(duō)年前，隐寫術(shù)曾是向受害者傳播惡意軟件的常用手段，但(dàn)近期的發展為(wèi)這種舊(jiù)式攻擊注入了新的活力。

如今，作(zuò)為(wèi)奪旗（CTF）比賽的一部分，安全專業人(rén)員最常遇到隐寫術(shù)。最近的一個(gè)例子來(lái)自2018年的Hacktober.org CTF活動，其中标志(zhì)“TerrifyingKitty”嵌入在圖像中。這種策略很(hěn)聰明(míng)，部分原因是因為(wèi)該技(jì)術(shù)已經非常老舊(jiù)了，許多(duō)年輕的安全專業人(rén)員在尋求解決問題時(shí)甚至都不會(huì)考慮它。

然而，隐寫術(shù)的應用并不僅限于娛樂和(hé)遊戲。網絡攻擊者再次開(kāi)始将這種技(jì)術(shù)全面融入他們的攻擊方案和(hé)工具中。最近的例子包括Sundown Exploit Kit和(hé)新的Vawtrak和(hé)Gatak / Stegoloader惡意軟件系列。

隐寫術(shù)之前逐漸過氣的原因之一是它通(tōng)常不能用于高(gāo)頻威脅（雖然僵屍網絡Vawtrak在2018年第四季度的活動非常頻繁）。由于這些(xiē)威脅僅限于特定的交付機制(zhì)，因此它們通(tōng)常無法實現網絡犯罪分子希望達到的高(gāo)攻擊量，即使是Vawtrak的攻擊量在一天內(nèi)也從未超過十來(lái)家(jiā)公司。因此，當FortiGuard實驗室的研究人(rén)員觀察到，使用隐寫術(shù)将惡意有(yǒu)效負載隐藏到在社交媒體(tǐ)上(shàng)傳遞的表情包中，從而導緻惡意軟件樣本激增時(shí)，他們的好奇心被激發了，故此他們對代碼進行(xíng)了一些(xiē)逆向工程操作(zuò)，想一探究竟。

與幾乎所有(yǒu)其它惡意軟件一樣，嵌入在這些(xiē)表情包中的惡意軟件首先嘗試聯系命令和(hé)控制(zhì)（C2）主機，然後下載與攻擊相關的其它代碼或命令。不過，有(yǒu)趣的地方就在這裏。

這個(gè)惡意軟件不是直接接收命令，而是按照指令在相關聯的Twitter饋送中尋找附加圖像，下載這些(xiē)圖像，然後提取隐藏在那(nà)些(xiē)圖像內(nèi)的命令以傳播其惡意活動。它通(tōng)過搜索包含諸如/ print（屏幕截圖），/ processes（編寫正在運行(xíng)的進程列表）和(hé)/ docs（從不同位置寫入文件列表）等修改值命令的圖像标記來(lái)完成此操作(zuò)。

這種方法非常巧妙，因為(wèi)大(dà)多(duō)數(shù)安全流程都專注于識别和(hé)阻止受感染設備與C2服務器(qì)之間(jiān)發送的通(tōng)信和(hé)命令。這種獨特的隐藏方法表明(míng)，我們的對手在不斷嘗試如何能夠悄無聲息地達到攻擊目的。利用社交媒體(tǐ)上(shàng)共享的圖像，以及安全人(rén)員傳統的二維安全防護方法，就是很(hěn)好的例證。

因此，盡管隐寫術(shù)是一種低(dī)頻攻擊媒介，但(dàn)網絡犯罪分子已經開(kāi)始利用它結合社交媒體(tǐ)的普遍性和(hé)快速傳播性來(lái)傳遞惡意有(yǒu)效負載。在這種情況下，一個(gè)從小(xiǎo)規模開(kāi)始的攻擊媒介 ，即使是在公司網絡之外，也可(kě)以快速擴展攻擊範圍。

這裏的難點在于無法專注于整個(gè)攻擊頻譜。正如我們常說，壞人(rén)隻需要做(zuò)對一次，而安全人(rén)員一次都不能做(zuò)錯。安全專業人(rén)員當然需要通(tōng)過持續的網絡安全意識培訓來(lái)防範此類創新性攻擊，但(dàn)他們還(hái)需要确保整個(gè)攻擊面上(shàng)的透明(míng)可(kě)見性。對于許多(duō)組織而言，這就需要重新思考和(hé)重新設計(jì)其安全基礎架構。

雖然越來(lái)越多(duō)的破壞度指标（indicators of compromise）可(kě)用于檢測惡意隐寫代碼，但(dàn)大(dà)多(duō)數(shù)情況下，隐寫攻擊都是0 day威脅。因此必須能夠及時(shí)獲取最新的威脅情報和(hé)行(xíng)為(wèi)分析，并結合自動化和(hé)AI技(jì)術(shù)，進而實現快速威脅響應，多(duō)管齊下才能有(yǒu)效防禦隐寫威脅。

強化安全性的建議

回顧2018年的數(shù)據，要有(yǒu)效的應對當今不斷變化的威脅，需要打破“煙囪式”獨立防護系統，将許多(duō)傳統上(shàng)不同的安全工具結合在一起，建立一種協作(zuò)方法，幫助安全人(rén)員全面掌握網絡中狀況。

随着現代網絡威脅的數(shù)量、速度和(hé)種類的增加，孤立的防護設備和(hé)平台愈加顯得(de)疲于應對。組織和(hé)企業需要一種更統一的防禦姿态，幫助公司在整個(gè)分布式環境中的多(duō)個(gè)層檢測已知和(hé)未知威脅。如果能夠再與內(nèi)部網絡分段策略相結合，組織不僅可(kě)以更好地檢測，還(hái)可(kě)以以自動化手段遏制(zhì)網絡中橫向擴展的威脅。

• 針對本文中討(tǎo)論的威脅，實現強有(yǒu)力的反隐寫殺傷鏈需要包括以下工具：
• 使用威脅情報，以追蹤最近的隐寫技(jì)術(shù)和(hé)其它威脅創新。
• 觀察并測試可(kě)疑的隐寫模糊惡意軟件。
• 檢查可(kě)能隐藏惡意內(nèi)容的應用程序和(hé)其它代碼。
• 阻止已知的隐寫消息流量。
• ·加快更新漏洞補丁、更新升級和(hé)策略控制(zhì)并确定其優先級。

安全人(rén)員需要随時(shí)了解和(hé)跟蹤網絡中流行(xíng)的和(hé)有(yǒu)破壞力的威脅，以保護其網絡免受應用程序攻擊、惡意軟件、僵屍網絡和(hé)0 day漏洞（如隐寫技(jì)術(shù)）的影(yǐng)響。網絡安全領域從未有(yǒu)過沉悶的時(shí)刻，IT團隊必須不斷了解最新的威脅，包括以新形式重新出現的舊(jiù)威脅，才能保證其網絡安全。

轉http://netsecurity.51cto.com