Зловред Lurk грамотно использует стеганографию

Эволюция вредоносных программ показывает, что их авторы идут на шаг впереди разработчиков антивирусов, пишут специалисты из Dell SecureWorks. По их мнению, сейчас наметилась тенденция, когда вирусы всё активнее используют публичную интернет-инфраструктуру: информация передаётся через социальные сети, обычные файлохостинги, облачные сервисы и т.д.

Вредоносный код спрятан в двух bitmap-файлах

Чтобы обойти антивирусы, некоторые зловреды ещё раньше использовали графические изображения для передачи информации. Но обычно они просто добавляли код в середину или конец файла. Новый дроппер Lurk поступает хитрее. Во-первых, перед установкой на компьютер он проверяет его на наличие антивирусов и не устанавливается в случае опасности. Во-вторых, потом он загружает полезную нагрузку из bitmap-файлов и отправляет информацию об успешном заражении на командный сервер.

А затем начинается самое интересное. Адреса URL на новые командные серверы и модули для скачивания прячутся в зашифрованном в картинках, которые приходят с сервера. Поскольку антивирус не может расшифровать эти данные, то картинки не считаются вредоносным трафиком.

Пример реального файла со спрятанным URL

Для кодирования используется последний бит в каждом байте информации.

  • 0xff = 11111111

  • 0xfe = 11111110

Искажение картинки выходит совершенно неразличимое на глаз: в каждом пикселе изменяется всего по одному биту каждый цветовой канал. Например, в белой картинке сверху закодирован адрес hxxp://zvld.alphaeffects.net/d/1721174125.zl.

Изменённый код показан на скриншоте красным цветом.

Скачав новый модуль по полученному адресу, Lurk готов к работе. Этот дроппер могут использовать для установки на компьютеры различных вредоносных программ, на усмотрение владельцев.

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.

Комментарии (10)

  • Небольшие странности в тексте: сначала пишется, что Lurk проверяет машину на наличие антивирусов и не устанавливается в случае опасности. Имеется ввиду, что заражения не происходит при наличии установленного антивируса? Если да, то странность #2: "...Поскольку _антивирус_ ". Вводит в замешательство. Как правильно понимать оба предложения?

  • Охуеть.

    Видел такой метод хранения информации в фотографиях (Для кодирования используется последний бит в каждом байте информации.) на одном из нетсталкерских формуов, только там изображения оставались такими же, и их не пидорасило. Алсо если кому интересно - могу скинуть

    lugidas@mail.ru

  • я так понимая что сначала нужно заразить комп бинаркой вируса, а потом картинки уже идут. Иными словами, смысл тот, что запросы идут через картинки, а заражение через бинарный файл, так ведь?

    • Из центрального серва надо команды доставать. Эти "команды" и идут через картинки. Возможно там еще какие-то модули для вируса, всякое такое...

  • При таком прогрессе, глядишь, я и за свою
    Убунту побаиваться начинаю.

    • Тебе не надоело выебываться своим линуксом? Поставил линукс и считаешь себя не таким как все,да? Таких не таких как все миллионы. Угомонись уже дитя,тут никого не волнует что у тебя за ось стоит. И больше не сри мне тут,сука.

      • Фу,
        какой ты не культурный и невоспитанный
        человек! Ты с какого зоопарка сбежал?

  • Хм, классная уловка, странно что её только сейчас начали использовать, ведь этот метод уже давно использовался на различных хакерских конкурсах.

    • ага, вот так все взяли и признались, кто и с какого года пользуется данным методом.

  • Только сегодня вечером на Маке заметил такую фигню. Решил, что глючат дрова нвидиовские - как раз планировал ось переставить. Странное совпадение.