白金APT在文本中隐藏后门通信

白金高级持续威胁(APT)小组带着新技术回来了，这些新技术使用隐写术将他们的动作隐藏在文本中。

周三，卡巴斯基的研究人员表示，这一发现是在本月追踪亚洲各国的黑客活动时发现的，该团队特别感兴趣的伪装方法是一种“以前从未见过的隐藏通信的隐写术”。

这并不是Platinum第一次与晦涩或新奇的攻击技术联系在一起——考虑到该组织过去曾在Windows中使用一种现在已被弃用的功能，即hotpatching——但这是第一次使用隐写术。

当数据隐藏在其他表单中时，隐写术是一个广泛使用的术语。在网络安全领域，这可能意味着通过将恶意代码隐藏到图像、音频或视频文件中，或者在这种情况下，通过合法文本隐藏恶意代码。

卡巴斯基是通过追踪网络安全公司Platinum最初认为的两个独立活动，偶然发现了该公司的最新漏洞。在其中一个例子中，PowerShell脚本被滥用于指纹系统，用于基本数据盗窃(比如系统信息)，以及安装后门将这些信息发送到硬编码的命令和控制(C2)地址。

第二个问题是存在一个实现为. dll文件的后门，它还充当WinSock NSP (Nameservice提供者)来维护持久性。

该团队将这些点连接起来，因为这两个系统都使用硬编码的活动时间来处理恶意软件，并滥用免费主机和域服务来建立固定的C2地址。

然而，第二个后门，现在被认为是在初步的PowerShell感染窃取了基本的PC规范之后的第二步感染，是Platinum最新攻击中最有趣的元素。研究人员表示，这个后门可以通过文本隐写术隐藏所有C2通信。

dll后门是通过一个恶意软件下载器安装的，同时安装后门和配置文件。

参见:俄罗斯花式熊APT连接到耳朵虫黑客集团

选择Active hours，在使用时，后门连接到C2并下载一个HTML页面，乍一看，这个页面似乎显示C2不可用。

然而，这就是隐写术发挥作用的地方。HTML页面实际上包含了被加密的嵌入式命令，其中用于解锁命令的密钥也隐藏在同一个页面中。

放在<——1234567890比;研究人员说，有两种技术在起作用，第一种是“基于HTML不关心标签属性顺序的原则”。

在页面的第31行，属性“align”、“bgcolor”、“colspan”和“rowspan”按字母顺序列出，而在下一行中，相同的属性按不同的顺序列出。

如果属性以特定的方式排列，这意味着可以对消息进行编码和隐藏。

第二种速记技术称为SNOW，然后用于解码消息和加密密钥。这可以通过添加到行的末尾的空白来实现。

TechRepublic:iOS开发者仍未能在应用程序中构建端到端加密

“后门逐行解码，并为数据收集一个加密密钥，该密钥也被放置在HTML标记之后，处于编码状态，”研究人员说。“结果是要执行的命令列表，保护方式与后门配置文件相同。”

然后提取并执行这些原始命令。后门不仅可以传输偷来的数据，还可以下载和执行额外的有效载荷，升级和卸载自己，以及修改自己的配置文件。

CNET:据报道，面部识别技术下周将登陆纽约校区

卡巴斯基还发现了一个为后门设计的工具，这是一个管理工具集超过150个选项和另一个后门，能够嗅探网络流量和潜在的连接受害者系统到P2P网络。

卡巴斯基说:“几年前，我们预测会有越来越多的APT和恶意软件开发者使用隐写术，现在有证据表明:在APT中，参与者使用了两种有趣的隐写术技术。”“一个更有趣的细节是，参与者决定将他们需要的实用工具作为一个巨大的集合来实现——这提醒我们，基于框架的架构正变得越来越流行。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！