圖像隱碼術(Steganography) – 將惡意檔案藏在圖片中來躲避偵測的方法,一直以來都被駭客用來散播惡意軟體或進行其他惡意攻擊。趨勢科技最近發現有駭客在「MEME」迷因圖(梗圖)上使用了這種技術。在10月25日和26日,攻擊者透過一個在2017年建立的 Twitter 帳號發表了兩條包含惡意Meme迷因圖的推文。圖內嵌了命令,讓惡意軟體從惡意 Twitter 帳號下載到受害者電腦後加以解析。變成電腦內惡意軟體的C&C服務。但要注意的是,惡意軟體並非從 Twitter下載,我們也沒有觀察到惡意軟體是用哪種機制散播給受害者。
編按:「Meme」指在網路上快速傳播擴散的爆紅內容,也有用發音/miːm/直譯為「迷因」, Meme圖通常指具有某種梗的圖片。
這個新威脅(偵測為TROJAN.MSIL.BERBOMTHUM.AA)值得注意的地方在於,惡意軟體透過合法服務(也是熱門的社群網路平台)接收命令,使用看似正常實為惡意的Meme迷因圖,而且除非關閉惡意Twitter帳號,不然無法中斷此威脅。Twitter在2018年12月13日已經關閉了該帳號。
隱藏在所提到圖片中的命令是「/print」,指示惡意軟體擷取受感染電腦的螢幕截圖。螢幕截圖會被送到駭客控制的C&C伺服器(利用pastebin.com來取得網址)。
截取受感染電腦螢幕截圖回傳給駭客
趨勢科技發現,一旦惡意軟體在受感染電腦上執行,就會將從Twitter帳戶下載惡意Meme迷因圖到受害者電腦上。接著會取出圖內所藏的命令,在此次案例中是「print」命令,讓惡意軟體截取受感染電腦的螢幕截圖。接著惡意軟體會從Pastebin取得C&C伺服器資訊。再將所收集的資訊或命令輸出上傳到指定網址,傳送給攻擊者。
圖1、顯示Pastebin網址的惡意軟體程式碼
在分析過程中,我們看到Pastebin取得的網址指向內部或私有IP地址,這可能只是攻擊者臨時的設定。
圖2、Pastebin取得的網址指向私有IP地址
