Hoe Xworm verbergt in afbeeldingen

Cyberbeveiliging
Steganography

Binnen het meest onschuldige beeld, een adembenemend landschap of een grappige meme, kan iets gevaarlijks zich verstoppen, wachtend op zijn moment om toe te slaan.

Geen vreemde bestandsnamen. Geen antiviruswaarschuwingen. Gewoon een onschadelijk beeld, stiekem een ​​lading verbergen die gegevens kan stelen, malware kan uitvoeren en uw systeem zonder sporen overneemt.

Dit is Steganography, een geheime wapen van een cybercriminaal voor het verbergen van kwaadaardige code in onschadelijk ogende bestanden. Door gegevens in afbeeldingen in te bedden, ontwijken aanvallers detectie, afhankelijk van afzonderlijke scripts of processen om de verborgen lading te extraheren en uit te voeren.

Laten we uitbreken hoe dit werkt, waarom het zo gevaarlijk is, en vooral, hoe het te stoppen voordat het te laat is.

Wat is steganografie in cybersecurity?

Steganografie is de praktijk van het verbergen van gegevens in een ander bestand of medium. In tegenstelling tot codering, die gegevens klautert om deze onleesbaar te maken, vermomt steganografie kwaadaardige code in onschadelijk ogende afbeeldingen, video’s of audiobestanden, waardoor het bijna onzichtbaar is voor traditionele beveiligingstools.

In cyberaanvallen sluiten tegenstanders payloads in beeldbestanden, die later worden geëxtraheerd en uitgevoerd op het systeem van het slachtoffer.

Waarom cybercriminelen steganografie gebruiken:

  • Ontduiking van beveiligingstools: Verborgen code in afbeeldingen omzeilt antivirus en firewalls.
  • Geen verdachte bestanden: Aanvallers hebben geen voor de hand liggende uitvoerbare bestanden nodig.
  • Lage detectiesnelheid: Traditionele beveiligingsscans inspecteren zelden afbeeldingen op malware.
  • Stealthy Payload Delivery: Malware blijft verborgen totdat ze worden geëxtraheerd en uitgevoerd.
  • Omzeilt e -mailfilters: Schadelijke afbeeldingen veroorzaken geen standaard phishing -detecties.
  • Veelzijdige aanvalsmethode: Kan worden gebruikt bij phishing, malware -levering en gegevensuitvoer.

Hoe Xworm steganografie gebruikt om detectie te ontwijken

Laten we eens kijken naar een malware-campagne die wordt geanalyseerd in de Any.Run Interactive Sandbox die precies laat zien hoe steganografie kan worden gebruikt in een multi-fasen malware-infectie.

Bekijk analysesessie met Xworm

Stap 1: De aanval begint met een phishing PDF

We zien binnen elke Sandbox -sessie van Run dat het allemaal begint met een PDF -bevestiging. Het document bevat een kwaadaardige link die gebruikers misleidt om een ​​.reg -bestand te downloaden (Windows Registry -bestand).

Onderzoek de geavanceerde functies van Run om verborgen bedreigingen te ontdekken, de dreigingsdetectie te verbeteren en uw bedrijf proactief te verdedigen tegen geavanceerde aanvallen.

Probeer er nu een. Run

Op het eerste gezicht lijkt dit misschien niet gevaarlijk. Maar het openen van het bestand wijzigt het systeemregister en plant een verborgen script dat automatisch wordt uitgevoerd wanneer de computer opnieuw start.

Stap 2: Het registerscript voegt een verborgen opstartproces toe

Zodra het .reg -bestand is uitgevoerd, injecteert het stilletjes een script in de Windows Autorun -registersleutel. Dit zorgt ervoor dat de malware wordt gestart de volgende keer dat het systeem opnieuw opstart.

In dit stadium is nog geen echte malware gedownload, alleen een slapend script dat wacht op activering. Dit is wat de aanval zo stiekem maakt.

Stap 3: PowerShell -uitvoering

Nadat een systeem opnieuw opstart, activeert het registerscript PowerShell, dat een VBS -bestand downloadt van een externe server.

Binnen de sandbox van Any.Run is dit proces zichtbaar aan de rechterkant van het scherm. Klik op PowerShell.exe onthult de bestandsnaam die wordt gedownload.

In dit stadium is er geen duidelijke malware, alleen een script dat een onschadelijk bestand lijkt te zijn. De echte dreiging is echter verborgen in de volgende stap, waarbij steganografie wordt gebruikt om de lading in een afbeelding te verbergen.

Stap 4: Steganografie -activering

In plaats van een uitvoerbaar bestand te downloaden, haalt het VBS -script een afbeeldingsbestand op. Maar verborgen in die afbeelding is een kwaadaardige DLL -lading.

Met offset 000D3D80 Binnen elke.run kunnen we aanwijzen waar de kwaadaardige DLL is ingebed in het afbeeldingsbestand.

Bij statische analyse lijkt de afbeelding legitiem, maar wanneer we het hex -tabblad inspecteren en naar beneden scrollen, vinden we de vlag << base64_start >>.

Direct na deze vlag zien we “TVQ”, de Base64-gecodeerde MZ-handtekening van een uitvoerbaar bestand. Dit bevestigt dat steganografie werd gebruikt om de Xworm -lading in de afbeelding te verbergen, waardoor deze de beveiligingsdetectie kan omzeilen totdat deze wordt geëxtraheerd en uitgevoerd.

Stap 5: Xworm wordt in het systeem ingezet

De laatste stap van de aanval omvat het uitvoeren van de geëxtraheerde DLL, die Xworm injecteert in het AddInProcess32 -systeemproces.

Op dit punt krijgt de aanvaller externe toegang tot de geïnfecteerde machine, waardoor ze:

  • Steel gevoelige gegevens
  • Voer op afstand opdrachten uit
  • Implementeer extra malware
  • Gebruik het geïnfecteerde systeem als een startpunt voor verdere aanvallen

Ontdek verborgen bedreigingen voordat ze toeslaan

Basis gebaseerde aanvallen op steganografie zijn een groeiende uitdaging voor bedrijven, omdat traditionele beveiligingshulpmiddelen vaak verborgen malware in afbeeldingen en andere mediabestanden over het hoofd zien. Hierdoor kunnen cybercriminelen detectie omzeilen, gegevens stelen en systemen infiltreren zonder alarmen te activeren.

Met tools zoals elke.run’s interactieve sandbox, kunnen beveiligingsteams elke fase van een aanval visueel volgen, verborgen payloads ontdekken en verdachte bestanden in realtime analyseren:

  • Bespaar tijd met snelle dreigingsanalyse: Krijg initiële resultaten in slechts 10 seconden en stroomlijnen uw dreigingsbeoordelingsproces.
  • Efficiënt samenwerken: Deel resultaten direct en werk samen in realtime sessies om teamtaken te versnellen.
  • Vereenvoudig onderzoek: Gebruik elke.run’s intuïtieve interface en realtime vlaggen om de werklast te verminderen en de productiviteit te verbeteren.
  • Krijg bruikbare inzichten: Leverage geëxtraheerd IOC’s en MITER ATT & CK Mapping voor effectieve triage, reactie en jagen op dreigingen.
  • Verbeter de reactie: Verbetering van gegevensoverdracht van SOC 1 naar SOC Tier 2 met uitgebreide rapporten voor effectievere escalatie.

Proactief monitoren van verdachte activiteit en het testen van potentiële bedreigingen in een gecontroleerde omgeving is de sleutel tot het versterken van uw cybersecurity -houding.

Probeer de geavanceerde functies van Run en krijg dieper inzicht in bedreigingen en neem snellere, gegevensgestuurde beslissingen om uw bedrijf te beschermen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 9A lekt op YouTube voorafgaand aan de aankondiging van volgende week

Wat te weten voordat u uw eerste XR -headset krijgt

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]