python与病毒防治（黑客使用隐写术在）

python与病毒防治（黑客使用隐写术在）Worok 的完整感染链，来源：Avast接下来，CLRLoader 加载第二阶段的 DLL (PNGLoader)，它提取嵌入在 PNG 文件中的字节并使用它们来组装两个可执行文件。在 PNG 文件中隐藏恶意软件虽然用于破坏网络的方法仍然未知，但 Avast 认为 Worok 可能使用 DLL 侧载将 CLRLoader 恶意软件加载程序执行到内存中。这是基于来自受感染机器的证据，Avast 的研究人员在其中发现了四个包含 CLRLoader 代码的 DLL。

一个被跟踪为“Worok”的威胁组织将恶意软件隐藏在 PNG 图像中，以在不发出警报的情况下用窃取信息的恶意软件感染受害者的机器。

Avast 研究人员证实了这一点，他们以 ESET 的发现为基础，ESET 是第一个在 2022 年 9 月上旬发现并报告 Worok 活动的人。

ESET 警告说， Worok 的目标是备受瞩目的受害者，包括中东、东南亚和南非的政府实体，但他们对该组织攻击链的可见性有限。

Avast 的报告基于该公司从 Worok 攻击中捕获的其他工件，证实了 ESET 关于 PNG 文件性质的假设，并添加了有关恶意软件有效负载类型和数据泄露方法的新信息。

在 PNG 文件中隐藏恶意软件

虽然用于破坏网络的方法仍然未知，但 Avast 认为 Worok 可能使用 DLL 侧载将 CLRLoader 恶意软件加载程序执行到内存中。

这是基于来自受感染机器的证据，Avast 的研究人员在其中发现了四个包含 CLRLoader 代码的 DLL。

接下来，CLRLoader 加载第二阶段的 DLL (PNGLoader)，它提取嵌入在 PNG 文件中的字节并使用它们来组装两个可执行文件。

Worok 的完整感染链，来源：Avast

隐写术将代码隐藏在在图像查看器中打开时看起来正常的图像文件中。

在 Worok 的案例中，Avast 表示威胁参与者使用了一种称为“最低有效位 (LSB) 编码”的技术，该技术将一小块恶意代码嵌入到图像像素中最不重要的位中。

图像像素上的 LSB，来源：Avast

PNGLoader 从这些位中提取的第一个有效负载是 ESET 和 Avast 都无法检索的 PowerShell 脚本。

隐藏在 PNG 文件中的第二个有效负载是自定义 .NET C# 信息窃取程序 (DropBoxControl)，它滥用 DropBox 文件托管服务进行 C2 通信、文件泄露等。

包含第二个有效载荷的 PNG 图像如下：

包含信息窃取器的 PNG 图像文件，来源：Avast

DropBox 滥用

“DropBoxControl”恶意软件使用参与者控制的 DropBox 帐户来接收数据和命令或从受感染机器上传文件。

命令存储在攻击者的 DropBox 存储库中的加密文件中，恶意软件会定期访问该存储库以检索待处理的操作。

DropBox 文件的形式，TaskType 为 command，来源：Avast

支持的命令如下：

• 使用给定的参数运行“cmd /c”
• 使用给定参数启动可执行文件
• 从 DropBox 下载数据到设备
• 从设备上传数据到 DropBox
• 删除受害者系统上的数据
• 重命名受害者系统上的数据
• 从定义的目录中提取文件信息
• 为后门设置新目录
• 泄露系统信息
• 更新后门的配置

这些功能表明 Worok 是一个网络间谍组织，对隐蔽数据泄露、横向移动和监视受感染设备感兴趣。

Avast 评论说，从 Worok 攻击中采样的工具并未在野外传播，因此它们很可能仅由威胁组织使用。