近日,安全研究机构Huntress披露了一种新型网络攻击手法。攻击者将“ClickFix”社会工程学诱骗与高级隐写技术相结合,把恶意代码藏匿于PNG图像像素数据中,成功规避常规安全检测,旨在向受害主机植入信息窃取木马。这一技术演进凸显出当前网络威胁正朝着更为隐蔽和复杂的方向发展。
攻击流程:从虚假界面到手动执行
整个攻击始于一个精心伪造的钓鱼页面。早期版本伪装成“人机验证”弹窗,而近期变种则升级为高度仿真的全屏Windows系统更新界面,甚至带有“正在更新…”的动态视觉效果。页面会诱导用户按下Win+R组合键打开“运行”对话框,并粘贴已自动复制到剪贴板中的特定命令。
该命令会启动mshta.exe进程,进而执行一个内嵌了十六进制编码IP地址的脚本,最终调用PowerShell加载器,为后续攻击铺平道路。
技术核心:利用图像像素隐藏恶意载荷
本次攻击的核心创新在于其载荷隐藏方式。攻击者并未采用传统的在文件末尾附加数据的方法,而是开发了定制算法,将加密后的shellcode直接编码到PNG图像文件的像素数据内部。
具体的解码过程聚焦于图像的红色通道(R值)。系统首先读取图像的原始像素矩阵,然后通过特定的行、列偏移计算来定位隐藏的数据块。接着,对每个像素的红色通道值与数字114进行异或(XOR)运算,从而逐字节还原出加密的shellcode流。
载荷释放与最终威胁
被提取的shellcode经过Donut工具处理,能够在内存中直接加载并执行.NET程序集。这个程序集本身充当了一个隐写加载器,其任务是解密并运行内嵌在资源中的另一张加密PNG图片所包含的有效载荷。
根据Huntress的分析,该攻击链最终投放的恶意软件包括LummaC2和Rhadamanthys等信息窃取程序。这些软件能够盗取浏览器保存的密码、加密货币钱包、信用卡信息以及其他敏感数据,对个人与企业安全构成严重威胁。
防御视角:提升检测难度与应对策略
这种“像素级隐写”技术极大地增加了安全分析的难度。由于恶意代码完全融合在正常的图像数据中,传统的基于文件特征或附件的检测机制很容易失效。尽管攻击最终环节仍依赖于用户被诱导后手动执行命令,但其技术复杂性和隐蔽性已达到新的水平。
为应对此类日益复杂的网络威胁,安全专家建议采取多层面防御:
- 强化安全意识:对员工进行持续的安全培训,重点识别伪造的系统更新、验证弹窗等钓鱼场景,强调勿随意执行未知来源的指令。
- 实施技术管控:在确有必要的环境下,可以考虑通过组策略或修改注册表(路径:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisableRun)来禁用Windows的“运行”对话框,从而切断此类攻击的关键执行路径。
| 
发表于 9 小时前
|
查看: 3|
回复: 0
