明处隐藏：恶意软件如何利用图像隐写术进行伪装与隐藏？

在网络安全领域，攻击者不断进化，开发出新的方法将恶意代码隐藏在文件中。其中一种方法是隐写术，即将秘密信息隐藏在普通的非秘密信息或文件中。在数字图像的背景下，隐写术涉及将秘密数据嵌入图像的像素中，而不影响其视觉外观。

虽然隐写术可以用于保护敏感信息等合法目的，但攻击者也可能利用它将恶意软件隐藏在看似无害的文件中。通过隐写术隐藏在图像中的恶意软件能够逃避传统杀毒软件的检测，使其成为攻击者的有效工具。

攻击者通常通过以下步骤利用隐写术将恶意软件隐藏在图像中：

1. 选择图像文件：攻击者通常选择常见的图像格式，如JPEG、PNG或BMP，作为恶意软件的载体文件。所选文件应能容纳恶意软件负载，同时不会显著影响文件大小或视觉效果。
2. 创建恶意软件负载：恶意软件负载是攻击者希望隐藏在图像中的代码或数据。负载可以是任何类型的恶意软件，如病毒、木马或后门程序。
3. 编码负载：然后使用隐写术技术对负载进行编码，生成新的图像文件。负载通过修改像素值的最低有效位嵌入图像中。由于修改细微，像素的整体颜色值未显著变化，肉眼无法察觉图像的任何变化。
4. 分发图像：攻击者通过电子邮件、社交媒体或恶意网站等渠道分发包含隐藏恶意软件的图像文件。一旦图像文件被下载并打开，隐藏的恶意软件负载就可能被执行，进而对受害者系统造成损害。

由于对图像所做的修改极其微小，反恶意软件工具很难检测隐写术攻击。此外，隐写术攻击通常表现为零日威胁，进一步增加了检测难度。
一个使用隐写术的恶意软件例子是LokiBot，它窃取用户名、密码和加密货币钱包等敏感信息。LokiBot以.jpg和.exe文件形式安装，其中.jpg文件解锁实施所需的数据。
 

新的LokiBot恶意软件变种利用隐写术隐藏代码
LokiBot是一种最初以窃取信息和记录按键为主的恶意软件家族，现已更新新功能以增强其逃避检测的能力。趋势科技研究最近分析了一个新的LokiBot变种，发现该恶意软件现采用隐写术技术，将其代码隐藏在图像文件中。该恶意软件还使用了更新的持久化机制，并通过包含恶意ISO文件附件的垃圾邮件进行传播。

例如，趋势科技在一家东南亚公司订阅其托管检测与响应服务时，收到一封包含潜在恶意附件的电子邮件并发出警报。该邮件声称来自印度一家糖果公司的附件，但发件人姓名和邮件签名不符，且邮件的IP地址已知为恶意。

恶意软件以%Temp%[文件名].exe形式安装，同时伴有%temp%[文件名].jpg文件，后者包含在解包阶段使用的加密二进制数据，直到主LokiBot代码在内存中被解密。一旦解密，恶意软件便从目标应用程序窃取凭据。

通过使用隐写术，LokiBot为其代码增加了额外的混淆层，并使用Visual Basic脚本文件解释器执行其代码，而非直接执行恶意软件本身。这种技术使恶意软件更难被检测和分析。
 

如何保护自己
为防范图像隐写术攻击，组织应密切关注每张图像，使用图像编辑软件查找隐写术迹象。同时，应进行网络分段，配置反恶意软件以检测绑定器，安装具有可信签名的应用程序，监控外发流量，并控制隐写术软件的使用。此外，Protectstar建议使用行为型人工智能软件检测恶意代码的执行，无论其来源是图像、其他文件，还是无文件