Das Dell Secureworks CTU Forscherteam hat analysiert in letzter Zeit ein Stück Malware und identifiziert die Renovierung von Stegoloader, die digitale Steganographie verwendet seine Hauptmodul den Code zu verstecken. Dieser verborgene Teil des Codes ist in einem Portable Network Graphics versteckt (PNG) Bild, das von einer legitimen Website heruntergeladen werden könnte.
================================================== ========================
================================================== ========================
Stegoloader in Progress
Diese Malware auch als Win32 / Gatak.DR und TSPY_GATAK.GTK bekannt ist eine neue Art von Malware. Tatsächlich, Stegoloader ist technisch nicht neu auf der Bühne der Malware Welt, aber es hat nur seine erneuerte Version. Es ist von der Malware-Familie von Trojanern und seit mindestens aktiv 2013 und doch ist relativ unknown.Recently, renovierten Infektionen wurden durch PC-Anwender erkannt und Verunreinigungen sind kaum wahrnehmbar, da niemand mit nur den Besuch einer Webseite infiziert werden erwartet.
Der Einsatz von Stegoloader Implementiert über PNG-Datei
Es wird durch Software-Piraterie-Websites verbreitet, mit einer Packung von Software-Lizenzschlüssel-Generatoren. Stegoloader Hauptmodul verwendet digitale Steganographie Teil seines Codes in einem Portable Network Graphics zu verstecken (PNG) Bild auf einer legitimen Website präsentiert, wie erwähnt. Diese bösartige Art von Trojan setzt durch dieses Bild das Herunterladen jedes Mal, es läuft und verwendet Steganographie seinen Code aus dem Bild zu extrahieren. Die Malware wird niemals auf der Festplatte gespeichert und wird direkt vom Speicher abgeschlossen, wodurch Nachweis schwierig.
→„Nachdem das Bild herunterzuladen, Stegoloader verwendet die GDIPlus Bibliothek, um das Bild zu dekomprimieren, Zugriff auf jedes Pixel, und Extrahieren des niedrigstwertigen Bits der Farbe jedes Pixels. Die extrahierten Datenstrom wird unter Verwendung des RC4-Algorithmus entschlüsselt und einen hart codierten Schlüssel.” Dell Secureworks CTU Forscherteam erklärte in einem Blog-Post.
Die Technik ist einfach und besteht aus zwei Stufen
- Die erste Stufe ist die Bestimmung, ob der Computer für den Einsatz sicher ist. Stegoloader ist die Überprüfung für die Art der Sicherheitsanalyse-System und seine Stärke. Diese Analyse geht mit einem häufigen Wechsel der Position der Maus, aber es ist nicht notwendig, da es nicht seine Position und Malware in diesem Fall ändern könnte beendet, ohne eine schädliche Aktivität aufweisen.
- Die zweite Stufe wird das Herunterladen des Haupt-Deployment-Modus. Wenn das Ergebnis des Stegoloader ist klar,, lädt es dann und Hauptmodus abläuft. Dies geschieht durch eine grundlegende Abrufen, Alltag Datei PNG, auf eine vertrauenswürdige und legitime Website häufig gehostet.
Weiter, einige Stegoloader-Funktionen werden nur auf kompromittierte Systeme im Einsatz, je nach Interesse der Malware-Betreiber. Der modulare Aufbau ermöglicht es seinen Bedienmodule zu implementieren, wenn necessary.That die Exposition der Malware-Funktionen während der Untersuchungen begrenzt und kehrt technische Analyse. Diese begrenzte Exposition macht es schwieriger, die Bedrohung Akteure zu bewerten’ Absicht vollständig. Die Module von CTU Forscher analysierten Liste meist griffenen Dokumente, kürzlich besuchten Web-Sites, aufzuzählen installierten Programme, gestohlene Passwörter, genommen und Installationsdateien für das IDA-Tool.