如何使用stegoWiper破坏基于隐写术的恶意软件攻击
关于stegoWiper
在最近这十年中,很多网络威胁组织都在使用基于隐写术的恶意软件或相关隐写技术来攻击全球范围内各个地区的不同部门和组织。比如说APT*15/Vixen Panda、APT*23/Tropic Trooper、APT*29/Cozy Bear、APT*32/OceanLotus、APT*34/OilRig、APT*37/ScarCruft、APT*38/Lazarus Group、Duqu Group、Turla、Vawtrack、Powload、Lokibot、Ursnif和IceID等。
我们的研究表明,大多数威胁团体都在使用非常简单的技术(至少从学术角度来看)和已知的工具来规避外部防御,尽管更先进的威胁团体也在使用隐写术来隐藏C&C通信和数据过滤。我们认为,这种缺乏复杂性并不是因为缺乏隐写术知识(一些APT,如Turla,已经尝试了先进的算法),而是因为组织和部门无法保护自己,即使威胁团体使用的是最简单的隐写术技术。
出于这个原因,我们创建了stegoWiper,这是一种通过攻击所有隐写算法中最薄弱的一点(鲁棒性)来盲目破坏任何基于图像的隐写恶意软件的工具。经过测试后发现,stegoWiper能够破坏目前使用的所有隐写技术和基于隐写术实现的工具(Invoke PSImage、F5、Steghide、openstego等),以及学术文献中基于矩阵加密和wet-papers,等的最先进算法(例如Hill、J-Uniward、Hugo)。事实上,隐写技术越复杂,stegoWiper产生的干扰就越大。
除此之外,stegoWiper实现的主动攻击技术允许我们实时中断组织通过网络代理ICAP(互联网内容适配协议)服务交换的所有图像中的任何隐写Payload,而无需首先识别图像是否包含隐藏数据。
工具运行机制
stegoWiper能够删除输入文件中的所有元数据注释,还为图像添加了一些难以察觉的噪声(不管它是否包含隐藏的Payload)。如果图像确实包含隐写Payload,这种随机噪声会改变它,因此如果你尝试提取它,它将失败或损坏,因此隐写软件无法执行。
值得注意的是,由于噪声是随机的并且分布在整个图像上,攻击者无法知道如何避免,这一点很重要。
工具下载
该工具本质上是一个Shell脚本,广大研究人员可以使用下列命令将该项目源码克隆至本地,然后直接运行脚本即可:
git clone https://github.com/mindcrypt/stegowiper.git
(向右滑动、查看更多)
工具使用&参数
stegoWiper v0.1 - Cleans stego information from image files
(png, jpg, gif, bmp, svg)
Usage: ${myself} [-hvc <comment>] <input file> <output file>
Options:
-h 显示工具帮助信息和退出
-v 开启Verbose模式
-c <comment> 像输出的图像文件添加注释<comment>
(向右滑动、查看更多)
工具使用样例-破坏隐写术
stegowiper.sh -c "stegoWiped" ursnif.png ursnif_clean.png
(向右滑动、查看更多)
项目提供的examples/目录中包含一些基础图像文件,这些文件中使用了各种不同的隐写算法隐藏了敏感信息,大家可以使用setgoWiper对这些文件进行测试。
许可证协议
本项目的开发与发布遵循GPL v3开源许可证协议。
项目地址
stegoWiper:
https://github.com/mindcrypt/stegowiper
精彩推荐
相关文章
- Fabric.js 使用纯色遮挡画布(前景色)
- XSRF 的攻击与防范
- 在 .NET 中使用 FixedTimeEquals 应对计时攻击
- CRLF攻击原理介绍和使用
- 遇到ARP泛洪攻击,怎么破?
- 攻击推理,一文了解“离地攻击”的攻与防
- 如何使用ADFSRelay分析和研究针对ADFS的NTLM中继攻击
- WiFi安全与攻击案例分析
- 使用 Nonce 防止 WordPress 网站受到 CSRF 攻击
- 保护系统:使用 Redis 屏蔽 DDoS 攻击(redis防攻击)
- 更多软件被发现使用类似 Superfish 中间人攻击技术
- 攻击DNS之利用顶级域名配置错误监控Windows域用户
- 疑似俄罗斯黑客团体Fancy Bear使用的攻击程序源码文件
- 探究:Linux遭遇攻击的真相(linux是否被攻击)
- MSSQL注入攻击:从死循环中解放出来(mssql注入 死循环)
- Redis缓存与CC攻击能否形成有效的防御(redis缓存能防cc吗)
- Python中使用scapy模拟数据包实现arp攻击、dns放大攻击例子