Dell SecureWorks CTU forskergruppe har sidst analyseret et stykke malware og identificeret renoveringen af Stegoloader, der bruger digital steganografi at skjule sine vigtigste modul kode. Denne skjulte del af koden er skjult inde i en Portable Network Graphics (PNG) billede, der kan downloades fra en legitim hjemmeside.
================================================== ========================
================================================== ========================
Stegoloader i gang
Denne malware også kendt som Win32 / Gatak.DR og TSPY_GATAK.GTK er en ny form for malware. Rent faktisk, Stegoloader er ikke teknisk ny på scenen af malware verden, men det bare har sin fornyede udgave. Det er fra den malware familie af trojanske heste og har været aktiv siden i hvert fald 2013 og alligevel er relativt unknown.Recently, er blevet påvist renoverede infektioner gennem pc-brugere og forureninger er næsten umærkelig som ingen forventer at blive smittet med blot besøger en webside.
Indsættelsen af Stegoloader implementeres via PNG fil
Det formidles gennem piratkopiering af software hjemmesider, med en pakke med software licens nøgle generatorer. Stegoloader vigtigste modul bruger digital steganografi at skjule en del af sin kode inde i en Portable Network Graphics (PNG) billede præsenteres på en legitim hjemmeside, som sagt. Denne ondsindede type trojansk udsender ved at downloade billedet hver gang det kører og bruger steganografi at udtrække sit koden fra billedet. Den malware aldrig gemmes på harddisken og afsluttes direkte af hukommelse, hvilket gør detektion vanskelig.
→”Efter at have downloadet billedet, Stegoloader bruger GDIPlus biblioteket til at dekomprimere billedet, adgang hver pixel, og udtrække den mindst betydende bit af farven på hver pixel. Den ekstraherede datastrøm dekrypteres med RC4 algoritme og en hårdt kodet nøgle.” Dell SecureWorks CTU forskerhold forklaret i et blogindlæg.
Teknikken er enkel og består af to trin
- Den første fase er at bestemme, om computeren er sikkert for implementering. Stegoloader kontrollerer, om den type sikkerhed analysesystem og dens styrke. Denne analyse går med en hyppig skift af musens position, men det er ikke nødvendigt, da det ikke kunne ændre sin position og i dette tilfælde malware afsluttes uden at udvise nogen ondsindet aktivitet.
- Det andet trin er at downloade den vigtigste implementering tilstand. Hvis resultatet af Stegoloader er klar, så det henter og kører ud primære mode. Dette sker ved at hente en grundlæggende, hver-dag PNG-fil, ofte hostet på en betroet og legitim hjemmeside.
Endvidere, nogle af Stegoloader funktioner kun sættes på kompromitteret systemer afhængig af interesse malware operatør. Det modulære design tillader dets operatør at gennemføre moduler når necessary.That begrænser eksponering af malware kapaciteter under undersøgelser og reverserer teknisk analyse. Denne begrænsede eksponering gør det sværere at vurdere trusler aktører’ hensigt fuldt. De analyseret af CTU forskere moduler liste meste tilgås dokumenter, for nylig besøgte hjemmesider, opregne installerede programmer, stjålne adgangskoder, og taget installationsfilerne for IDA værktøj.