犯罪分子使用惡意Memes與惡意軟體通信

Steganography隱寫術，是一種將惡意payload隱藏在圖片中來繞過安全檢測的方法，被網路犯罪分子廣泛用於傳播惡意軟體和執行其他惡意活動。研究人員最近發現有惡意攻擊者使用在memes上使用該技術。惡意軟體作者在10月25和26日通過2017年創建的twitter賬號發布了含有惡意memes的推文。Memes含有嵌入的命令，惡意軟體會從惡意twitter賬戶中下載到受害者機器上後會對惡意memes進行分析。但是惡意軟體並不是從twitter下載的，研究人員也不清楚該惡意軟體傳播的方法。

這是一種新的威脅，因為惡意軟體的命令是通過合法服務接收到的，而且是一種看似無惡意的memes，除非禁用惡意twitter賬戶，否則無法解決這一問題。Twitter已於2018年12月13日禁用了該賬號。

隱藏在memes中的是/print命令，可以讓惡意軟體獲取受感染機器的截圖。然後截圖會被發送給C2伺服器，其中C2地址是通過pastebin.com上硬編碼的URL獲取的。

惡意軟體分析

研究人員發現惡意軟體在受感染的機器上執行後，會從受害者機器的twitter賬戶下載惡意memes。然後從惡意memes中提取處給定的命令。上面提到的memes中隱藏的就是/print命令，惡意軟體可以從受感染的機器上獲取截圖。然後從Pastebin獲取C2伺服器地址，並將收集的信息或命令輸出發回給C2伺服器。

圖1.惡意代碼中顯示Pastebin URL的代碼

研究人員分析發現Pastebin URL指向的是一個內部或私有IP地址，這可能是攻擊者使用的臨時佔位符。

圖2. Pastebin URL指向的私有IP地址

然後惡意軟體會解析twitter賬號中的內容，使用模式來查找對應的圖片文件。

圖3. 惡意Twitter賬號

圖4. Twitter賬號發布的惡意memes

研究人員分析時，共有兩個memes(DqVe1PxWoAIQ44B.jpg和DqfU9sZWoAAlnFh.jpg)含有命令print。嵌入的命令讓惡意軟體在受感染的機器上執行不同的動作，比如截屏、收集系統信息等等，如下所示。

惡意軟體下載圖像文件後，會嘗試從中提取/字元開頭的命令。

圖5. 定位命令字元串的代碼段

下面是惡意軟體支持的命令列表：

·/print 截屏

·/processos 提取運行的進程列表

·/clip 獲取剪貼板內容

·/username 從受感染的機器上提取用戶名

·/docs 從desktop, %AppData% 等預定義的路徑提取文件名

圖6. 惡意軟體支持的命令代碼

圖7. /print命令相關代碼

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！