首页
社区
课程
招聘
巴西的木马显示PNG图片中存在恶意代码
发表于: 2016-4-2 17:32 3367

巴西的木马显示PNG图片中存在恶意代码

2016-4-2 17:32
3367
新闻链接: http://www.seehand.com/digest/1477.html
新闻时间:2016年04月01日 17:12
新闻正文:
[LEFT]卡巴斯基实验室(Kaspersky Lab)的安全研究人员发现了一种新的恶意程序,它使用PNG(便携式网络图像格式)图片隐藏恶意代码。

该恶意程序通过邮件中的无害PDF文件传播,其中包括连接至zip文件的链接,而其中会包括恶意图片和其他文件。该类型的攻击并不是第一次出现,而与之前发现的网络犯罪分子利用传播包含pdf扩展名文件的exe或zip文件实施的攻击类似。

尽管该攻击伎俩不是新的,但这种传播方式正表明实施者正在想尽各种办法寻找新办法以确保他们的恶意代码不会被反病毒软件检测出来。

去年,信息窃取恶意程序Stegoloader对北美医疗机构带来重大破坏,当时也检测到其使用PNG图像隐藏主模块。该图片文件使用原始载荷中的硬编码URL下载,并且会自动解压、解密从而执行恶意程序而感染受攻击的电脑。

在本次新情形下,卡巴斯基的Thiago Marques解释说,攻击者的行为已超越了简单的钓鱼攻击而试图将恶意代码隐藏至已经文件格式的加密文件中,从而避免引起用户的怀疑。

卡巴斯基的研究人员发现,该PDF文件由HTML内容生成,他们甚至成功找到了工具使用的URL。他们还发现,文件中的恶意链接诱导用户下载JAR文件,从而下载包含其他文件的ZIP文件。

在分析zip文件的内容时,研究人员注意到其中有三个文件没有扩展名,但包括PNG文件的文件头,这表明将使用该文件类型以使其打开。该文件是单一颜色的文件,仅有63×48像素,但文件大小达1.33MB。

研究人员还识别出了将PNG文件加载至内存的功能,还发现其负责解密并通过RunPE技术执行提取的二进制代码。这也被称为VBInject或VBCrypt,它确保恶意代码会在其他进程(本例中为iexplore.exe)的环境中执行,同时会使该恶意操作很难被检测到。

进一步的分析表明,该PNG图片仅为179字节,而其他文件内容为加密的恶意代码。

该寄存在PNG图片中的恶意代码在没有启动器的情形下无法执行,这意味者它不是主要感染程序,Marques说道。由于该恶意程序通常传播至受害者的邮箱,它必须通过其他模块安装,但该技术将恶意代码隐藏至图片对于躲避自动检测非常有效,使得分析变得更加困难。

卡巴斯基实验室的研究人员还注意到其他与本次攻击有关的文件,即Trojan.Win32.KillAv.ovo、HEUR:Trojan.Win32.Generic、Trojan-Downloader.Win32.Banload.cxmj、Trojan-Downloader.Win32.Agent.hgpf和HEUR:Trojan-Downloader.Java.Generic。

本次威胁的表象还表明,巴西的攻击在不断的进化,并正在变得更加复杂和有效率,研究人员强调称。正如Proofpoint在最近的报道中披露的,攻击者正在将人们视为最佳的攻击工具,而用户在打开来源不明的邮件和附加时应当更加留心。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//