צוות המחקר של Dell SecureWorks CTU באחרונה נתח חתיכת תוכנות זדונית שזוהה השיפוץ של Stegoloader המשתמש steganography הדיגיטלי להסתיר הקוד של מודול העיקרי שלה. חלק הנסתר של קוד חבוי בתוך Portable Network Graphics, (PNG) תמונה שניתן להוריד מאתר אינטרנט לגיטימי.
================================================== ========================
================================================== ========================
Stegoloader in Progress
תוכנות זדוניות זה ידוע גם בשם Win32 / Gatak.DR ו TSPY_GATAK.GTK היא סוג חדש של תוכנה זדונית. בעצם, Stegoloader אינו חדש טכני על הבמה של העולם הזדוני אבל זה פשוט יש גרסה המחודשת שלה. זהו ממשפחת תוכנות זדוניות של סוסים טרויאניים ו פועלת מאז לפחות 2013 ובכל זאת היא יחסית unknown.Recently, זיהומים שופצו זוהו באמצעות משתמשי PC וזיהומים הם בלתי מורגשים כמעט כמו שאף אחד לא מצפה להידבק רק עם ביקור בדף אינטרנט.
פריסת Stegoloader מיושמת באמצעות קובץ PNG
זה מופץ דרך אתרי פיראטיות תוכנה, עם חפיסת גנרטורים מפתח רישיון תוכנה. מודול העיקרי Stegoloader משתמש steganography הדיגיטלי להסתיר חלק מהקוד שלה בתוך Portable Network Graphics, (PNG) הדימוי המוצג באתר לגיטימי, כפי שהוזכר. סוג זדוני זו של טרויאני פורס על ידי הורדת התמונה הזו בכל פעם שהוא פועל ומשתמש steganography לחלץ הקוד שלה מהתמונה. התוכנה הזדונית לא נשמר בדיסק הקשיח והוא השלים ישירות על ידי זיכרון, מה שהופך זיהוי קשה.
→"לאחר הורדת התמונה, Stegoloader עושה שימוש בספריית gdiplus כדי לשחרר לחץ על התמונה, לגשת לכל פיקסל, ולחלץ קצת הפחות משמעותי של הצבע של כל פיקסל. זרם הנתונים שחולצו מפוענח באמצעות אלגוריתם RC4 ומפתח בקידוד קשיח.” צוות המחקר של Dell SecureWorks CTU הסביר בהודעה שפרסם בבלוג.
הטכניקה היא פשוטה והיא מורכבת משני שלבים
- השלב הראשון הוא לקבוע אם המחשב הוא בטוח לפריסה. Stegoloader בודק עבור סוג של מערכת הביטחון ניתוח ועוצמתה. ניתוח זה הולך עם שינוי תכוף של מיקום העכבר אבל זה לא הכרחי כפי שהוא לא יכול לשנות את העמדה ואת התוכנות זדוניות במקרה הזה מסתיים בלי להפגין כל פעילות זדונית.
- השלב השני הוא מוריד את מצב הפריסה העיקרי. אם התוצאה של Stegoloader ברור, אז זה מוריד ומריץ את מצב עיקרי. זה קורה על ידי בשליפה של בסיס, כל יום PNG קובץ, ארח לעתים קרובות באתר אינטרנט מהימן ולגיטימי.
יתר על כן, חלק מהתכונות של Stegoloader פרוס רק במערכות נפגעות בהתאם לאינטרס של מפעיל התוכנות הזדוני. העיצוב המודולרי שלו מאפשר למפעיל שלו כדי ליישם מודולים כאשר necessary.That מגביל את חשיפת היכולות הזדוניות במהלך חקירות והופך ניתוח הנדסי. חשיפה מוגבלת זה מקשה להעריך את השחקנים האיומים’ כוונת במלואה. המודולים נתחו ידי חוקרי CTU רשימת מסמכים בוצעו גישה בעיקר, לאחרונה ביקר באתרי אינטרנט, למנות תוכניות מותקנות, סיסמאות נגנבו, וקבצי התקנה נלקחו עבור כלי IDA.