隐藏在图片下的恶意程序Stegoloader，是否避开了你的杀软？

Posted 2020-08-19

Stegoloader也叫Win32/Gatak.DR 及TSPY_GATAK.GTK，它是一款首次于2013年被发现的恶意程序，但当时并未引起人们的注意，主要是以为它的设计很隐秘，因此很多反病毒解决方案并不能检测得到。信息隐藏技术是用来在另一信息或者图像文件中隐藏信息的一种技术。恶意程序作者利用它在图像文件中隐藏执行代码，在一系列的安全检测实施完之后，他才会被提取出来并运行。这种隐藏技术还被其他的一些恶意程序家族利用，如Miniduke APT组织、Aulreon木马、Lurk下载器。

在Stegoloader感染过程中，临时部署组件会从互联网上下载一个功能性的PNG文件。在PNG文件的像素内部，隐藏着少量可以提取出来用于重建木马主模块的加密代码。PNG图像和木马主模块都不会保存在磁盘上，整个过程只是在计算机的内存中进行，木马也是直接加载到内存中。

躲避方法1：

在部署其他的模块之前，该恶意程序会检查它不是处在(杀毒软件的)调试环境中。例如，部署一个模块监视鼠标光标的移动情况，如果鼠标不停的变换位置或者永远不变换位置，就说明当前环境有“猫腻”，恶意程序会立即终止所有恶意行为。

躲避方法2：

部署模块会列出系统当前运行的进程，一旦发现某些安全工具的硬编码字符，如Wireshark、Fiddler，它就不会在该系统上运行。如果没有发现任何的安全威胁，它才会与C&C服务器连接，加密通信，下载含有恶意程序的PNG文件。

无论是PNG图片还是解密后的代码均不会存储在磁盘上，这样的话传统基于磁盘的分析工具就很难发现该恶意程序。

一经下载，病毒会伪装成有关Skype或Google Talk的正规文件，下载含有恶意程序的照片文件。

Stegoloader会使用多种规避手段避免被执法部门和安全厂商调查，比如它会检查它不是处在杀毒软件的调试环境中。