駭客利用 Twitter 發送 Meme迷因梗圖,藉圖像隱碼術( Steganography )躲避偵測

圖像隱碼術(Steganography) – 將惡意檔案藏在圖片中來躲避偵測的方法，一直以來都被駭客用來散播惡意軟體或進行其他惡意攻擊。趨勢科技最近發現有駭客在「MEME」迷因圖(梗圖)上使用了這種技術。在10月25日和26日，攻擊者透過一個在2017年建立的 Twitter 帳號發表了兩條包含惡意Meme迷因圖的推文。圖內嵌了命令，讓惡意軟體從惡意 Twitter 帳號下載到受害者電腦後加以解析。變成電腦內惡意軟體的C&C服務。但要注意的是，惡意軟體並非從 Twitter下載，我們也沒有觀察到惡意軟體是用哪種機制散播給受害者。

編按:「Meme」指在網路上快速傳播擴散的爆紅內容,也有用發音/miːm/直譯為「迷因」, Meme圖通常指具有某種梗的圖片。

這個新威脅（偵測為TROJAN.MSIL.BERBOMTHUM.AA）值得注意的地方在於，惡意軟體透過合法服務（也是熱門的社群網路平台）接收命令，使用看似正常實為惡意的Meme迷因圖，而且除非關閉惡意Twitter帳號，不然無法中斷此威脅。Twitter在2018年12月13日已經關閉了該帳號。

隱藏在所提到圖片中的命令是「/print」，指示惡意軟體擷取受感染電腦的螢幕截圖。螢幕截圖會被送到駭客控制的C&C伺服器（利用pastebin.com來取得網址）。

截取受感染電腦螢幕截圖回傳給駭客

趨勢科技發現，一旦惡意軟體在受感染電腦上執行，就會將從Twitter帳戶下載惡意Meme迷因圖到受害者電腦上。接著會取出圖內所藏的命令，在此次案例中是「print」命令，讓惡意軟體截取受感染電腦的螢幕截圖。接著惡意軟體會從Pastebin取得C&C伺服器資訊。再將所收集的資訊或命令輸出上傳到指定網址，傳送給攻擊者。

圖1、顯示Pastebin網址的惡意軟體程式碼

在分析過程中，我們看到Pastebin取得的網址指向內部或私有IP地址，這可能只是攻擊者臨時的設定。

圖2、Pastebin取得的網址指向私有IP地址

惡意軟體接著會解析惡意 Twitter帳號的內容，用以下模式找尋圖檔：“<img src=\”(.*?):thumb\” width=\”.*?\” height=\”.*?\”/>”。

圖3、惡意 Twitter帳號的截圖

圖4、Twitter帳號所發布的一個惡意 Meme迷因圖

在分析時，有兩個Meme迷因圖（DqVe1PxWoAIQ44B.jpg和DqfU9sZWoAAlnFh.jpg）包含了命令「print」。內嵌的命令可以指示惡意軟體在受感染電腦上進行各種動作（像是擷取螢幕截圖、收集系統資訊等），如下面的列表所述。

惡意軟體下載圖檔後會去取出以「/」開頭的命令。

圖5、用來找出命令字串的程式碼片段

以下是此惡意軟體所支援的命令列表：

命令	敘述
/print	螢幕截圖
/processos	取回執行中的程序列表
/clip	取得剪貼簿內容
/username	從受感染電腦取得使用者名稱
/docs	從指定路徑取得檔案名稱，如桌面、%AppData%等）

圖6、包含惡意軟體所支援命令的程式碼片段

圖7、顯示「/print」命令詳細資訊的程式碼

趨勢科技解決方案

使用者和企業可以採用能夠結合跨世代混合威脅防禦技術來保護系統抵禦各類型威脅（像會跟看似正常的圖片進行通訊的惡意軟體）的安全解決方案。趨勢科技的端點解決方案（如Smart Protection Suites和Worry-Free Business Security）能夠偵測惡意檔案、郵件以及封鎖所有相關惡意網址來保護使用者和企業免於惡意威脅。趨勢科技Deep Discovery進階網路安全防護具備了電子郵件檢查層，可以偵測惡意附件檔和網址來保護企業。

這些解決方案由趨勢科技的XGen安全防護技術所驅動，提供高保真機器學習功能來保護閘道和端點，並且能夠保護實體、虛擬和雲端的工作環境。透過網頁/網址過濾、行為分析和客製化沙盒等功能，XGen安全防護技術可以抵禦今日不斷進化，特製來繞過傳統安全防護，攻擊已知及未知漏洞的惡意威脅。