【安全资讯】GHOSTPULSE进化:恶意软件现隐藏于图像像素中,规避检测
概要:
最近,Elastic Security Labs揭示了GHOSTPULSE恶意软件家族的重大进化,显示其通过将有效载荷隐藏在图像像素结构中来规避检测。这一新技术使得网络安全专业人员的检测和提取工作变得更加困难,突显了网络安全领域面临的挑战。主要内容:
GHOSTPULSE,亦称为HIJACKLOADER或IDATLOADER,最近的版本采用了一种像素级的欺骗技术,取代了之前依赖PNG文件IDAT块的方式。根据Elastic Security Labs的报告,这种恶意软件通过提取每个像素的红、绿、蓝(RGB)值,构建字节数组,从而将恶意数据直接嵌入像素值中,避免了依赖文件结构或头部分析的检测机制。新版本的GHOSTPULSE不仅具备先进的隐藏技术,还采用了更简化的交付方式。与早期版本依赖多个文件包不同,最新版本使用一个包含大型PNG文件的单一可执行文件,这个PNG文件中包含了加密配置和有效载荷,消除了对单独文件的需求。
此外,GHOSTPULSE的攻击活动通常结合社会工程学策略,诱使用户执行恶意软件。例如,受害者可能被引导完成虚假的CAPTCHA,而实际上这些操作会触发恶意的PowerShell脚本,启动GHOSTPULSE感染。为了应对这一不断演变的威胁,Elastic Security Labs更新了检测机制,新的YARA规则将用于检测这种像素级隐藏技术,帮助网络防御者保持领先。
相关链接
https://securityonline.info/ghostpulse-evolves-malware-now-hides-in-image-pixels-evading-detection/
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享