真っ白なステガノグラフィ

画像ファイルへのステガノグラフィってのがありますが、そういうのではないタイプのものが確認されています。

今回はCSSファイルがその隠し場所になっています。
CSSファイルというと、普通はWebサイトの見栄えに関連する色や各種大きさなどの内容を指定するために使われたりします。
で、そういった性質上通常の利用においては、改行や空白などは読み飛ばされるものであり、特別な意味を持つものではありません。

しかし、今回の思いついた人は違いました。
CSSファイルの中に大量のタブコード、スペース、改行を入れます。
で、これらを準備したJavaScriptでそれぞれbinaryの要素と見立てて読み取り、そのCSSからまったく別のファイルとして取り出す、ということをやったわけです。

この空白文字を使ったデコーダ機構そのものはこのマルウェア作者の作成したものではなかったそうです。公開されている空白デコーダ機構を見つけたマルウェア作者は、そのコードをそのまま拝借して使ったようです。

いろいろと思いつく人がいるのですね。車輪の再開発はしない。すでにあるものは使う。
頭が柔らかいのはいいことですが、それはいいことに使いたいなと思いました。

参考記事(外部リンク):Whitespace Steganography Conceals Web Shell in PHP Malware
blog.sucuri.net/2021/02/whitespace-steganography-conceals-web-shell-in-php-malware.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。