黑客教你们如何隐藏恶意软件

免责声明：本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

恶意软件一直让我着迷。为此，我经常坐在互联网的阴影中，与地下世界的黑客成员们在一起，尽可能地吸收与恶意软件相关的知识和信息，倾听黑客们如何解决问题并提出新的解决方案，将恶意程序植入有安全保障的设备或网络中，这是一件非常有趣的事情。

20世纪 90 年代末，我的黑客之旅刚刚开始，向毫无防备的受害者发送恶意文件简直是小儿科。当时的杀毒软件耗资不菲，因此绝大多数用户都没有杀毒软件，而那些有杀毒软件的用户有时也会忘记启用杀毒软件，或者将其禁用，以便从文件共享网络上下载盗版音乐、电影和游戏。但如今，想要禁用Windows Defender就没那么容易了。

然而，由于人性中的冲动，人们仍然在P2P文件共享网站上寻找破解软件和盗版资源。如果这些资源切实有效，他们甚至更愿意冒着可能被感染的风险。

在大多数情况下，用户必须禁用Windows Defender才能运行高度压缩的安装程序。黑客工具会立即被标记为恶意软件并被删除。更重要的是，仅依靠Windows Defender就能极大地增强 Windows，包括任何售后安全软件。因此，想要突破Windows Defender的防护就需要一定的创造力。

为此，我专门研究了如何让恶意软件不会被诸如Windows Defender等杀毒软件识别出来，以下是黑客常用的技巧和工具。

卡巴斯基报告称，高达50%的隐写术攻击以工业组织为目标。尽管从历史上看，隐写术一直被用于数据走私，利用图像隐藏敏感信息，但这种复杂的方法包含一种加密技术，用于在看似无辜的图像文件和音频文件中隐藏恶意软件。

JPEG 和 PNG 等图像是被动文件，因为它们存储的是视觉信息，不可执行。不过，它们可以被编辑以在其结构中存储数据，这意味着它们可以被操纵以隐藏有效载荷或触发其他可执行文件进行攻击。

例如，攻击者可以通过使用合法的 Windows 归档管理器 WinRAR 来诱使用户在不知情的情况下执行恶意文件。

例如，攻击者可以配置 WinRAR，将恶意文件存档为图像。一旦图像被打开，它就会像往常一样打开，同时运行恶意代码。这种技术是在受害者机器上建立反向外壳的有效方法，允许攻击者完全控制设备。

另一种隐藏方法称为“最低有效位（LSB）隐写术”，即在图像的像素中隐藏恶意代码或数据。它会将恶意代码转换成二进制格式，并将其嵌入到像素值的最低有效位。

为了简化工作原理，图像中的每个像素由每种颜色的三个字节组成。如果红色的像素值是 11001011，攻击者就可以修改它，嵌入整个恶意软件代码的 1 位。整个过程将重复进行，以容纳每一位恶意代码。

图像将完全按照原样显示，没有任何视觉改动，给人的印象是一个合法、安全的文件。为了提取恶意代码，过程会反过来，从图像中包含的最低有效位重新组合恶意二进制数据。这无疑是一个很大的挑战。

在大多数情况下，保持杀毒软件的更新、文件检测功能的启用和防火墙的激活，都可以为防范隐写术攻击提供足够的保护。

另一种用于规避 Windows Defender 等安全软件的隐藏技术被称为文件碎片或文件分割。这种方法是将文件分割成多个较小的部分，这些部分通常被放置在不同的文件中或隐藏在操作系统中的不同位置。

想想看。如果将一个文本文档分割成不同的独立部分，当你试图阅读文本的任何一个片段时，上下文就会不清晰。攻击者就是这样躲避检测，通过安全审计，减少引起怀疑的可能性。

想要利用它就需要重新组装，依靠脚本或加载器工具将这些片段重新组合为一个完整的可执行文件。作为 Windows 用户，如果考虑到安全软件会自动过滤并警告试图下载和安装可执行文件的用户可能是恶意的，那么这种方法就会暗中绕过安全软件。

这一点很有意思，因为这种恶意软件最近一直是新闻焦点。下载器是一个多阶段交付系统，等待攻击者的指令，将恶意软件下载并部署到目标系统上。

可以把它想象成恶意网页安装程序，但它的目的是隐藏在目标计算机上，等待攻击者的指令，然后下载和执行恶意代码。这也允许攻击者引入其他恶意软件，每个恶意软件都设计了多层规避和混淆功能，以逃避检测和后续清除。

与大多数恶意软件一样，下载器通常伪装成其他合法程序，但通常与其他软件捆绑在一起。例如，当一个人下载盗版软件时，很有可能在安装文件中压缩了一个驱动程序。

在网络钓鱼活动中，这些软件也经常作为电子邮件附件出现。如果您收到了陌生人的电子邮件，请不要下载其中的文件附件。

这种攻击载体是将恶意 URL 直接编码到 CSS（层叠样式表）文件中，就像攻击者嵌入恶意链接引导受害者的浏览器下载恶意文件一样：

未编码基本示例：

background-image:url('http://malicioussite.com/malware.exe')；

简而言之，CSS 是一种样式表语言，用于定义 HTML文档（包括网站和网络应用程序）的表现形式和布局。

为了躲避“简单字符串匹配”或用于检测精确字符串匹配以识别恶意内容的过滤系统，攻击者使用64位和十六进制等 URL 编码进行混淆，以规避过滤系统。改变 CSS 文件中 URL 的外观可以让攻击者绕过这些检测系统，将恶意内容传播出去。

64位编码示例：

background-image: url(''data:text/plain;base64,aHR0cDovL21hbGljaW91cy1zaXRlLmNvbS9tYWx3YXJlLmV4ZQ=='')；

十六进制编码示例：

background-image: url(''687474703A2F2F6D616C6963696F75732D736974652E636F6D2F6D616C776172652E657865'');

几年前，我在研究一篇新闻报道的主题并同时探索某些 Google Dorks 时，无意中发现了暴露的敏感服务器目录，这些目录并不打算公开访问。

在不知情的情况下，我将其中一个不受保护的父目录的 URL 复制到了剪贴板上。后来，当我在一篇文章中嵌入一个超链接以引用来源时，我粘贴了这个 URL，却没有意识到自己的错误。

幸运的是，我的编辑在文章发表前发现了这个错误。否则，任何点击该链接的人都会被重定向到一个未受保护的父目录，有可能暴露敏感信息，还可能导致我被解雇。

虽然日常用户无法直接控制 CSS 文件的安全性，但网站所有者需要执行严格的内容安全策略。实施 CPS 标头以指示 CSS 文件禁止从不可信任的来源执行恶意 CSS 代码是关键所在。