Изображения, демонстрирующие захватывающие пейзажи или забавные мемы, становятся прикрытием для коварного вредоносного ПО, способного похищать данные, запускать вредоносные команды и захватывать контроль над системой, несмотря на отсутствие подозрительных имён файлов или срабатываний антивирусов. Эта методика, именуемая стеганографией, используется киберпреступниками для сокрытия злонамеренного кода внутри, на первый взгляд, безобидных медиафайлов.
Стеганография представляет собой практику сокрытия информации в другом файле или носителе, отличаясь от шифрования тем, что данные не преобразуются в нечитаемый вид, а инкапсулируются внутри обычных изображений, видео или аудиофайлов. Такой подход позволяет обходить классические средства защиты, поскольку вредоносный код не выявляется стандартными проверками и фильтрами.
Многоступенчатая атака XWorm начинается с рассылки PDF-файла, содержащего ссылку на скачивание файла.REG, который, будучи открытым, модифицирует реестр Windows. Скрытый скрипт, внесённый в ключ автозапуска, служит для активации последующих этапов инфекции, что подтверждено обнаружением изменений значения Autorun в системе посредством .
После перезагрузки системы внесённый скрипт незаметно запускает PowerShell, который скачивает с удалённого сервера VBS-скрипт. Запуск процесса, видимого в посредством клика по powershell.exe, происходит под видом рутинного получения безобидного файла, однако истинная угроза скрывается в следующей фазе.
Ключевой этап атаки заключается в извлечении вредоносного DLL-пейлоада, замаскированного внутри изображения. VBS-скрипт получает файл, в котором, за счет использования смещения 000d3d80, следует за маркером <<BASE64_START>> строка «TVq,» – базовая сигнатура MZ, подтверждающая наличие исполняемого кода, что является явным признаком использования стеганографии.
Извлечённый DLL запускается и внедряется в процесс AddInProcess32, что дает злоумышленникам возможность удалённого доступа к заражённой машине. При этом могут быть осуществлены разнообразные вредоносные действия: от кражи конфиденциальных данных до выполнения удалённых команд и развёртывания дополнительных угроз, что подтверждено обнаружением XWorm в песочнице .
Традиционные системы защиты, такие как антивирусы и фильтры электронной почты, часто не способны обнаружить сокрытый в медиафайлах код, что делает стеганографические атаки особенно опасными. Демонстрация в режиме реального времени с использованием позволяет отследить каждый этап заражения, начиная с анализа вредоносных регистров и заканчивая извлечением скрытых индикаторов компрометации, таких как IOCs и MITRE ATT&CK.
Использование передовых инструментов для мониторинга и анализа подозрительной активности, каковые предлагают интерактивные песочницы, существенно ускоряет процесс выявления угроз на ранних стадиях. Применение детальной визуализации и мгновенного обмена результатами анализов позволяет оперативно реагировать на инциденты и повышать эффективность работы команд информационной безопасности.
Изображение носит иллюстративный характер
Стеганография представляет собой практику сокрытия информации в другом файле или носителе, отличаясь от шифрования тем, что данные не преобразуются в нечитаемый вид, а инкапсулируются внутри обычных изображений, видео или аудиофайлов. Такой подход позволяет обходить классические средства защиты, поскольку вредоносный код не выявляется стандартными проверками и фильтрами.
Многоступенчатая атака XWorm начинается с рассылки PDF-файла, содержащего ссылку на скачивание файла.REG, который, будучи открытым, модифицирует реестр Windows. Скрытый скрипт, внесённый в ключ автозапуска, служит для активации последующих этапов инфекции, что подтверждено обнаружением изменений значения Autorun в системе посредством .
После перезагрузки системы внесённый скрипт незаметно запускает PowerShell, который скачивает с удалённого сервера VBS-скрипт. Запуск процесса, видимого в посредством клика по powershell.exe, происходит под видом рутинного получения безобидного файла, однако истинная угроза скрывается в следующей фазе.
Ключевой этап атаки заключается в извлечении вредоносного DLL-пейлоада, замаскированного внутри изображения. VBS-скрипт получает файл, в котором, за счет использования смещения 000d3d80, следует за маркером <<BASE64_START>> строка «TVq,» – базовая сигнатура MZ, подтверждающая наличие исполняемого кода, что является явным признаком использования стеганографии.
Извлечённый DLL запускается и внедряется в процесс AddInProcess32, что дает злоумышленникам возможность удалённого доступа к заражённой машине. При этом могут быть осуществлены разнообразные вредоносные действия: от кражи конфиденциальных данных до выполнения удалённых команд и развёртывания дополнительных угроз, что подтверждено обнаружением XWorm в песочнице .
Традиционные системы защиты, такие как антивирусы и фильтры электронной почты, часто не способны обнаружить сокрытый в медиафайлах код, что делает стеганографические атаки особенно опасными. Демонстрация в режиме реального времени с использованием позволяет отследить каждый этап заражения, начиная с анализа вредоносных регистров и заканчивая извлечением скрытых индикаторов компрометации, таких как IOCs и MITRE ATT&CK.
Использование передовых инструментов для мониторинга и анализа подозрительной активности, каковые предлагают интерактивные песочницы, существенно ускоряет процесс выявления угроз на ранних стадиях. Применение детальной визуализации и мгновенного обмена результатами анализов позволяет оперативно реагировать на инциденты и повышать эффективность работы команд информационной безопасности.
