WAV音频文件中隐藏恶意软件

LYA 看雪学院 2021-03-12

作为最常见的声音文件格式之一，WAV音频文件胜在能够提供无损模式。

然而却是最新的恶意软件的藏身之处。

WAV音频文件暗藏后门

研究人员发现来自俄罗斯的Tuela黑客组织，正在进行一项秘密的攻击活动，他们通过WAV音频文件将恶意后门安装到受害者受感染的计算机上。

恶意WAV文件可以通过多种方式传递，除了垃圾邮件之外，还可以伪装成官方电子邮件的盗版内容进行网络下载，以此建立远程访问，秘密执行植入在音频文件中恶意内容。

在这次攻击中发现了两个有效载荷，包括Metasploit和XMRig，这也代表着受害者的设备被用来执行加密劫持的同时还建立了命令和控制反向连接。

在用户播放时，有些WAV格式的音乐并没有明显的质量问题或者毛刺，但部分文件会产生白噪声，没有音乐内容。

三种解码方式

此外，植入后门的WAV文件使用三种不同的方法来解码和执行恶意代码：

这次攻击手段较为新颖，使用了与此前完全不同的WAV文件，同时使用隐写术以及其他编码技术对代码进行模糊处理，使得底层代码仅在内存中显示，能够达到隐藏以避免检测的效果。在这种情况下，攻击者利用混淆视线来执行加密活动并立用于命令和控制的反向连接。

总体来说后果较为严重，因为任何攻击者都可以使用类似的恶意工具和TTP。并且这只是攻击的第一阶段，不同的黑客可能使用相同的公开程序执行第二阶段的攻击。

* 本文由看雪编辑 LYA 编译自 Threat post，转载请注明来源及作者。

* 具体技术细节可参照此链接：

https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html