恶意PNG:隐藏在图片中的“恶魔”

2024-09-08 15:18
文章标签 图片 隐藏 png 恶意 恶魔

本文主要是介绍恶意PNG:隐藏在图片中的“恶魔”,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

<img src="https://i-blog.csdnimg.cn/blog_migrate/bffb187dc3546c6c5c6b8aa18b34b962.jpeg" title="214201hhuuhubsuyuukbfy_meitu_1_meitu_2.jpg"/></strong></span></p>

在互联网安全这场持久战中,网络攻击者一直在不断改进自己的攻击技术。安全研究人员发现,最新的Graftor木马变种可以将恶意DLL文件内嵌到PNG图片中,然后以图片为载体隐藏并将恶意DLL下载到目标系统上,并能够躲避杀毒软件的检测。针对本文中的样本,恶意内容被嵌入在了真实PNG图片数据的末尾。

广告软件,甚至是绑定恶意软件的正版软件越来越多地被作为攻击者用来初始访问目标用户系统的手段。在这些情况下,用户会被诱导访问一些恶意网站或者安装一些软件。在这次所分析的样本中,它访问了系统之后,恶意软件通过下载一个包含恶意DLL和其他可执行内容的PNG文件,并利用该PNG文件进行进一步的漏洞利用。其中,PNG文件的下载发生在系统后台,而无需与用户进行交互,并且会将恶意内容隐藏在PNG文件的末尾,通过这种方法攻击者试图绕过系统和网络的安全检测。

意在窃取用户输入数据

在我们1月份分析的样本中,恶意软件首先试图通过HTTP请求从http://174.128.244.58:808 toopu.png网站下载恶意PNG图片,分析代码如下图所示。

<img src="https://i-blog.csdnimg.cn/blog_migrate/71c6dbf5de2017da7321894428d24f25.jpeg" title="1.png"/></p>

在toopu.png文件的末尾附加了一个DLL文件,该DLL并未以任何方式混淆或隐藏,而只是附加到PNG文件中IEND标志的后面,通常IEND标记表明图像文件的结束。

搜索VirusTotal,就能发现toopu.png同时还与一千多个样本联系密切,这些样本也都使用到了该PNG文件中的恶意内容。通过检测最近的很多样本,我们发现toopu.png文件从192.253.234.50处下载。此外,我们也发现攻击者还使用了其他PNG文件,例如khbgvkh.png和test.png文件。在我们分析的这个样本中,VT表明它hook了键盘和鼠标操作的相关函数。简单地查看test.png文件中添加的内容可以发现一些字符串,例如“ActiveOfflineKeyLogger”和“UnActiveOfflineKeyLogger”,表明恶意软件确实试图获取用户输入的键盘数据。

修改主机文件

通过检测VirusTotal上其他下载toopu.png文件的样本,还发现攻击者使用的另一个常见的技巧,即修改本地主机文件内容,将不同反病毒厂商的网址链接指向本地主机,从而防止本机访问这些网址。在其中一个样本中,恶意软件修改主机文件(hosts)的内容如下所示:

<img src="https://i-blog.csdnimg.cn/blog_migrate/de248024ed281a3f4298320c4e738d95.jpeg" title="png-host-file.png"/></p>

分析用于构建获取恶意PNG文件的HTTP请求的函数,可发现似乎该它缺少一些功能。它有大多数HTTP头的格式化字符串,但只提供了一个用户代理(User-Agent)和接受语言(Accept-Language)值,且对toopu.png的请求中只有空的referrer和cookie头。

<img src="https://i-blog.csdnimg.cn/blog_migrate/578d4ee2b1ec810e05d1b7bca3e5bfac.jpeg" title="2.png"/></p>

<img src="https://i-blog.csdnimg.cn/blog_migrate/e530d365ac0aed0e1c5c6892462f0491.jpeg" title="toopu-get-request-550x179.png"/></p>

恶意软件执行流程

如果该函数获取PNG文件失败,它将休眠一段时间然后再次请求。一旦获取到PNG文件,检索函数将执行一些基本的验证操作,以确保获取的是正确的图像文件。样本检测“200 OK”响应并核对文件长度是否为0x41EA9(269993),然后移动到嵌入的DLL文件开始偏移0xEA9(3753)。

<img src="https://i-blog.csdnimg.cn/blog_migrate/0184a300ce673da846a676a68e191d80.jpeg" title="3.png"/></p>

嵌入的DLL文件实际上包含一些C&C功能,函数中的参数type和cr都被硬编码成了“loadall”和“yes”。

<img src="https://i-blog.csdnimg.cn/blog_migrate/be98c5ca061e74d75bf9011c813908ee.jpeg" title="4.jpg"/></p>

UPX加壳文件内容

PNG文件中还包含了一个UPX加壳文件,该文件中包含一个域名列表和用户代理列表,C&C对应的域名包括:

niudoudou.com
fxxx114.com
wlkan.cn
it885.com.cn
aquametron.com

加壳文件中包含的用户代理都是独一无二的,其中一个列出了Chrome浏览器的过时版本,两个列出了两个版本的IE浏览器,还有一个列出了IE11浏览器和火狐浏览器。

Chrome用户代理(Chrome的当前版本是41)是:

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US)AppleWebKit/534.15 (KHTML, like Gecko) Chrome/10.0.612.1
Safari/534.15

两个IE用户代理分别为:

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1; SV1) ; Maxthon/3.0)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1; SV1) ; 360SE)

火狐用户代理为:

Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101Firefox/24.0

IOC哈希值:

331177e4fbde6c98620f1c9927962c79d4c027807357f42002a14a2dc22b4044
b4cb0490afa7da6647dc7f255a6c4c742b649fe4ff853b83f7dd2f948b8686be
1fc6034b3ec99a01e3b2cde22846772656481d7374209ca0f068c8ab181bc8d9
4124a533037373a922b01421caca3821af36099d98b7d6aa534ad9a2c4f40d2b

域名:

niudoudou.com
fxxx114.com
wlkan.cn
it885.com.cn
aquametron.com

IP地址:

174.128.244.58
192.253.234.50

结论

捆绑恶意软件和其他广告软件正在变成越来越常见的攻击手段。这些嵌入恶意代码的PNG文件最初的检出率很低,本文分析的样本也是如此。所以,用户必须时刻保持警惕,提防攻击者安装其他软件或者访问恶意网站。此外,一个分层的安全方法有助于降低这种威胁,它可以限制软件后台访问恶意网站,并能在恶意软件运行之前阻止它们。


这篇关于恶意PNG:隐藏在图片中的“恶魔”的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1148467

相关文章

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

Android 10.0 mtk平板camera2横屏预览旋转90度横屏拍照图片旋转90度功能实现

1.前言 在10.0的系统rom定制化开发中,在进行一些平板等默认横屏的设备开发的过程中,需要在进入camera2的 时候,默认预览图像也是需要横屏显示的,在上一篇已经实现了横屏预览功能,然后发现横屏预览后,拍照保存的图片 依然是竖屏的,所以说同样需要将图片也保存为横屏图标了,所以就需要看下mtk的camera2的相关横屏保存图片功能, 如何实现实现横屏保存图片功能 如图所示: 2.mtk

Spring MVC 图片上传

引入需要的包 <dependency><groupId>commons-logging</groupId><artifactId>commons-logging</artifactId><version>1.1</version></dependency><dependency><groupId>commons-io</groupId><artifactId>commons-

Prompt - 将图片的表格转换成Markdown

Prompt - 将图片的表格转换成Markdown 0. 引言1. 提示词2. 原始版本 0. 引言 最近尝试将图片中的表格转换成Markdown格式,需要不断条件和优化提示词。记录一下调整好的提示词,以后在继续优化迭代。 1. 提示词 英文版本: You are an AI assistant tasked with extracting the content of

研究人员在RSA大会上演示利用恶意JPEG图片入侵企业内网

安全研究人员Marcus Murray在正在旧金山举行的RSA大会上公布了一种利用恶意JPEG图片入侵企业网络内部Windows服务器的新方法。  攻击流程及漏洞分析 最近,安全专家兼渗透测试员Marcus Murray发现了一种利用恶意JPEG图片来攻击Windows服务器的新方法,利用该方法还可以在目标网络中进行特权提升。几天前,在旧金山举行的RSA大会上,该Marcus现场展示了攻击流程,

PHP抓取网站图片脚本

方法一: <?phpheader("Content-type:image/jpeg"); class download_image{function read_url($str) { $file=fopen($str,"r");$result = ''; while(!feof($file)) { $result.=fgets($file,9999); } fclose($file); re

(入门篇)JavaScript 网页设计案例浅析-简单的交互式图片轮播

网页设计已经成为了每个前端开发者的必备技能,而 JavaScript 作为前端三大基础之一,更是为网页赋予了互动性和动态效果。本篇文章将通过一个简单的 JavaScript 案例,带你了解网页设计中的一些常见技巧和技术原理。今天就说一说一个常见的图片轮播效果。相信大家在各类电商网站、个人博客或者展示页面中,都看到过这种轮播图。它的核心功能是展示多张图片,并且用户可以通过点击按钮,左右切换图片。

小程序button控件上下边框的显示和隐藏

问题 想使用button自带的loading图标功能,但又不需要button显示边框线 button控件有一条淡灰色的边框,在控件上了样式 border:none; 无法让button边框隐藏 代码如下: <button class="btn">.btn{border:none; /*一般使用这个就是可以去掉边框了*/} 解决方案 发现button控件有一个伪元素(::after

matplotlib绘图中插入图片

在使用matplotlib下的pyplot绘图时,有时处于各种原因,需要采用类似贴图的方式,插入外部的图片,例如添加自己的logo,或者其他的图形水印等。 一开始,查找到的资料都是使用imshow,但是这会有带来几个问题,一个是图形的原点发生了变化,另外一个问题就是图形比例也产生了变化,当然最大的问题是图形占据了整个绘图区域,完全喧宾夺主了,与我们设想的只在绘图区域中占据很小的一块不相符。 经

PNG透明背景按钮的实现(MFC)

问题描述: 当前要在对话框上添加一个以两个PNG图片作为背景的按钮,PNG图的背景是透明的,按钮也要做出相同的透明效果。并且鼠标不在按钮上时,按钮显示"bg1.png";鼠标移动到按钮上时,按钮显示"bg2.png" 开发环境为VS2010。 解决办法: 使用GDI+库装载PNG图片,并使用MFC Button Control和CMFCButton类结合,调用CMFCButton