在當今最受關注的APT攻擊和零時差漏洞利用中經常使用某些方法來逃避檢測，而黑客用來在隱祕通道內隱藏資料的一切可能方法，就是我們所認為的“隱寫術”

ZeusVM：在 JPG圖片裡隱藏惡意軟體的配置檔案

有一類Zeus病毒變種用一種特殊的方法隱藏它的配置檔案，利用圖片在其影象檔案的末尾包含了一些資料，經過解密之後，會生成配置檔案，而安全閘道器等裝置不會報警，使用者也不會發現。

（ZeusVM 下載的圖片，裡面暗藏了資料）

VAWTRAK 用收藏夾圖示來隱藏配置檔案

最近發現一個陰險的網銀木馬用網站的圖示隱藏自己的配置，favicon.ico是瀏覽器顯示在網址左邊的一個小圖，每個網站都有自己的favicon.ico，所以安全軟體幾乎不會做檢查。

VAWTRAK在影像當中使用了一種稱為 LSB（最低位）的技巧來隱藏訊息，它通過改變影象的畫素，使得用肉眼機乎不能觀測的畫素攜帶資訊。

FakeReg在應用程式圖示中隱藏配置檔案

網站圖示並不是唯一的選擇,我們發現不止一種Android病毒（ANDROIDOS_SMSREG.A）將配置檔案隱藏在程式圖示中。 

（攜帶病毒配置檔案的安卓圖示，由於該圖含有色情內容，所以進行了處理）

VBKlip在 HTTP協議中隱藏資料

VBKlip這個網銀木馬（在波蘭非常流行）監控使用者使用的網銀賬戶，一旦發現可用賬戶，便會將轉賬目標26位數進行變換,生成新的賬號,用來攔截使用者的支付。新賬號是一個洗錢組織，由C&C伺服器用一種非常規的方式下達。該病毒會向C&C伺服器發起一個毫無意義的HTTP連結，例如：

GETg4x6a9k2u.txt HTTP/1.1

這是一個幾乎沒人會注意的請求，然而伺服器返回的資訊包含了重要內容：

（C&C伺服器的HTTP迴應標頭）

上面的base64編碼的字串，解開之後就是一個銀行賬號，受害者將會向這個賬戶付款。雖然這不是完全意義上的隱寫術，但仍符合前面判定標準：利用非常規的渠道隱藏重要資料，導致外人很難察覺。

轉載請標明文章來源於趨勢科技！