Razlike
Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:datoteke_i_datotecni_sustavi:steganografija_u_zvucnim_zapisima [2020/01/04 02:58]
amijic [Skrivanje pomoću jeke] |
racfor_wiki:datoteke_i_datotecni_sustavi:steganografija_u_zvucnim_zapisima [2024/12/05 12:24] (trenutno)
|
| 2019. godine poznat je [[https://latesthackingnews.com/2019/10/20/hackers-now-employ-steganography-to-wav-audio-files-for-hiding-malware|slučaj skrivanja zloćudnog koda u zvučne zapise steganografskim postupkom]]. [[https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html#Loaders|Pronađena su tri različita zvučna zapisa]]. | 2019. godine poznat je [[https://latesthackingnews.com/2019/10/20/hackers-now-employ-steganography-to-wav-audio-files-for-hiding-malware|slučaj skrivanja zloćudnog koda u zvučne zapise steganografskim postupkom]]. [[https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html#Loaders|Pronađena su tri različita zvučna zapisa]]. |
| |
| Prvi zvučni zapis sadrži [[https://www.virustotal.com/gui/file/4fd1d0671395b1b0815b0704d31af816779a6a0a516ea6f82a9196f18bf513cc/detection|XMRig Monero CPU miner]], skriven metodom [[:racfor_wiki:datoteke_i_datotecni_sustavi:steganografija_u_zvucnim_zapisima#lsb_kodiranje|LSB kodiranja]]. Nužno je da na zaraženom računalu već postoji [[https://www.virustotal.com/gui/file/595a54f0bbf297041ce259461ae8a12f37fb29e5180705eafb3668b4a491cecc/detection|zloćudni program ("loader")]] koji će dekodirati i pokrenuti izvršnu datoteku iz zvučnog zapisa. Drugi zapis također sadrži [[https://www.virustotal.com/gui/file/7dc620e734465e2f5aaf49b5760df634f8ec8eeab29b5154cc6af2fc2c4e1f7c/detection|XMRig Monero CPU miner]], ali je kodiran pomoću niza pseudoslučajnih brojeva. Zaglavlje .wav datoteke je ispravno, ali datoteka ne sadrži stvaran zvučni zapis (čuje se samo šum). Izvršna datoteka dekodira se oduzimanjem pseudoslučajnog broja od svakog okteta nakon zaglavlja. Funkcijom [[https://docs.microsoft.com/en-us/cpp/c-runtime-library/reference/srand?view=vs-2019|srand]] s fiksnom vrijednosti određuje se deterministički niz pseudoslučajnih brojeva. Treći zapis pokreće "reverse shell" sa zaraženog računala, a kodiran je na isti način kao i drugi zapis. | Prvi zvučni zapis sadrži [[https://www.virustotal.com/gui/file/4fd1d0671395b1b0815b0704d31af816779a6a0a516ea6f82a9196f18bf513cc/detection|XMRig Monero CPU miner]], skriven metodom [[:racfor_wiki:datoteke_i_datotecni_sustavi:steganografija_u_zvucnim_zapisima#lsb_kodiranje|LSB kodiranja]]. Nužno je da na zaraženom računalu već postoji [[https://www.virustotal.com/gui/file/595a54f0bbf297041ce259461ae8a12f37fb29e5180705eafb3668b4a491cecc/detection|zloćudni program ("loader")]] koji će dekodirati i pokrenuti izvršnu datoteku iz zvučnog zapisa. U ovom primjeru takav program skriven je pod imenom "Microsoft MediaPlayer" kako ne bi bilo sumnjivo njegovo pristupanje zvučnim zapisima. Drugi zapis također sadrži [[https://www.virustotal.com/gui/file/7dc620e734465e2f5aaf49b5760df634f8ec8eeab29b5154cc6af2fc2c4e1f7c/detection|XMRig Monero CPU miner]], ali je kodiran pomoću niza pseudoslučajnih brojeva. Zaglavlje .wav datoteke je ispravno, ali datoteka ne sadrži stvaran zvučni zapis (čuje se samo šum). Izvršna datoteka dekodira se oduzimanjem pseudoslučajnog broja od svakog okteta nakon zaglavlja. Funkcijom [[https://docs.microsoft.com/en-us/cpp/c-runtime-library/reference/srand?view=vs-2019|srand]] s fiksnom vrijednosti određuje se deterministički niz pseudoslučajnih brojeva. Treći zapis pokreće "reverse shell" sa zaraženog računala, a kodiran je na isti način kao i drugi zapis. |
| |
| |
