首页 > 其他分享 >新型 Meterpreter 后门能够在图片中隐藏恶意代码

新型 Meterpreter 后门能够在图片中隐藏恶意代码

时间:2024-05-31 19:31:14浏览次数:26  
标签:后门 恶意代码 恶意软件 恶意 隐写术 Meterpreter 隐藏

据Cyber Security News消息,ANY.RUN 沙盒分析了一种被称为Meterpreter 的新型后门恶意软件,能利用复杂的隐写技术将恶意有效载荷隐藏在看似无害的图片文件中。

基于Meterpreter的攻击从一个包含 PowerShell 脚本的 .NET 可执行文件开始,该脚本会从远程命令与控制 (C2) 服务器下载一张 PNG 图片,该图片可以是一张景色秀丽的风景画,但却隐藏着恶意脚本。

恶意脚本使用 System.Drawing 库和特定公式(149 & 15)*16)|| (83^15) = 83从图像通道中计算出一个字节数组,该公式从图像的前两行绿色和蓝色RGB色彩通道值中通过提取隐藏代码而来。获得字节数组后,恶意软件会将其解码为 ASCII 字符,从而显示用户代理字符串和恶意软件将尝试连接的 C2 服务器 IP 地址。

Meterpreter后门原理

通过这种连接,攻击者可以发布命令,并有可能在未经授权的情况下访问被入侵的系统。解码后的信息会被转换成脚本,由恶意软件执行,从而在受感染的机器上建立一个持久的后门。该后门可用于各种恶意活动,如数据外渗、远程代码执行或在网络中进一步传播恶意软件。

隐写术:恶意软件传播的有力武器

隐写术是一种将信息隐藏在看似无害的数据中的做法,能够绕过传统的安全措施,通过在图像、音频文件或其他多媒体内容中隐藏恶意代码,在不被察觉的情况下发送有效载荷,目前正成为网络犯罪分子日益青睐的技术,
Meterpreter 后门活动凸显了现代恶意软件作者的复杂性和适应性。通过利用隐写术,可以有效地隐藏其恶意活动,使安全专业人员在识别和减轻威胁方面面临更大的挑战。

一位网络安全专家表示,这一活动凸显了采用多层次安全方法的重要性,这种方法将传统的基于签名的检测与行为分析和机器学习等先进技术相结合,要想在这些不断变化的威胁面前保持领先,就必须时刻保持警惕,并采取积极主动的网络安全方法。

参考来源:

New Meterpreter Backdoor Hides Malicious Codes Within the Image

标签:后门,恶意代码,恶意软件,恶意,隐写术,Meterpreter,隐藏
From: https://blog.csdn.net/FreeBuf_/article/details/139360029

相关文章

  • 供应链投毒预警:恶意Py包伪装HTTP组件开展CStealer窃密后门攻击
    概述近日(2024年4月25号),悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获1起CStealer窃密后门投毒事件,投毒者连续发布6个不同版本的恶意Py包multiplerequests,目标针对windows平台python开发者,该恶意包在安装时会远程加载CStealer后门到受害者系统上执行,该后门会窃取......
  • 20212217刘恒谦-Exp4-恶意代码分析
    一、实践过程记录1、系统运行监控(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,......
  • 恶意代码之静态分析【第四辑】
    防病毒系列22年很想学习的恶意代码分析,今天又翻到了这本书,还是被书中的第一个故事所吸引…一个公司反复被黑客攻击后,作为安全工程师的你只能告诉老板说要聘请外部安全专家来解决这个问题,这很难保住饭碗,如果有足够的智慧可以马上学习《恶意代码分析实战》,让你可以轻松应对......
  • arp欺骗 中间人攻击 后门
    一,arp欺骗在xp中pingkali 并使用命令arp-a查看缓存表记录动态物理地址在win7中打开packeth包 点击interface选择网卡选择network的网卡实验目的对xp130欺骗不能上网(能上网是因为网关的mac地址对应是一样的)首先测试能否上网  把mac地址改了就不能上网......
  • 他潜伏三年想插它后门,最终还是输给了另一个他
    3月29日,微软公司的开发人员AndresFreund在调查SSH性能问题时,发现了xz软件包中一个涉及混淆恶意代码的供应链攻击。进一步溯源发现SSH使用的上游liblzma库被植入了后门代码,恶意代码可能允许攻击者通过后门版本的SSH非授权获取系统的访问权限。恶意代码修改了liblzma......
  • liblzma/xz被植入后门,过程堪比谍战片!
    事件概述xz是一种几乎存在于所有Linux发行版中的通用数据压缩格式。从5.6.0版本开始,在xz的上游tarball包中被发现了恶意代码,通过一系列复杂的混淆手段,liblzma的构建过程从伪装成测试文件的源代码中提取出预构建的目标文件,然后用它来修改liblzma代码中的特定函数。这导致生成了一......
  • 恶意代码分析实战——第二章 虚拟环境搭建
    防止部分恶意代码存在跨网络感染宿主机的情况。创建虚拟网络,一个虚拟机可以同来运行恶意代码,而第二个虚拟机则提供一些必要的网络服务。两个虚拟机都被连接到同一个VMNet虚拟交换机上。我这里使用WIN7进行分析恶意代码,Kali进行提供网络服务。一、在VMwareWorkstation菜单栏......
  • 20212217刘恒谦-Exp2 后门原理与实践
    实践过程记录使用netcat获取主机操作Shell,cron启动​ ncat即Netcat,可以收发传输层数据,由攻击者使用。cron是Linux中用于按计划执行脚本的工具,在网络对抗中让受害者连接不稳定时,重连攻击者,由受害者启动。​ 既然如此,受害者需要是Linux,否则没有cron命令,我购买了一台阿里云Ubuntu......
  • Windows粘滞键后门
    Windows粘滞键后门原理:把sethc.exe粘滞键功能替换成cmd.exe的shell窗口,连续按5次shift键即可呼出cmd。①粘滞键替换成cmd的基本应用1、找到粘滞键应用所在的位置。在C:/Windows/System32这个目录(系统进程的目录)下可找到粘滞键sethc这个应用程序(系统进程)。2、备份要用到的文件......
  • 利用.user.ini文件隐藏后门
    0x00前言在PHP中有个很有趣的东西叫.user.ini,有点类似.htaccess文件,PHP会在每个目录下扫描INI文件,我们可以通过.user.ini文件来实现隐藏后门的效果官方手册地址:传送门通过阅读手册,我们知道在.user.ini中可以识别PHP_INI_PERDIR和PHP_INI_USER模式的INI设置关于PHP_INI_*一......