CN107800705A - 一种基于信息隐藏技术的木马植入途径 - Google Patents

一种基于信息隐藏技术的木马植入途径 Download PDF

Info

Publication number
CN107800705A
CN107800705A CN201711065078.1A CN201711065078A CN107800705A CN 107800705 A CN107800705 A CN 107800705A CN 201711065078 A CN201711065078 A CN 201711065078A CN 107800705 A CN107800705 A CN 107800705A
Authority
CN
China
Prior art keywords
wooden horse
horse
dll
information
embedded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711065078.1A
Other languages
English (en)
Inventor
张茹
黄福鸿
刘建毅
郭韬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN201711065078.1A priority Critical patent/CN107800705A/zh
Publication of CN107800705A publication Critical patent/CN107800705A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/001Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using chaotic signals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种基于信息隐藏技术的木马植入途径,实现对用户数据的盗取。首先设计可用于隐藏木马程序的信息隐藏算法,包括信息加密预处理、秘密数据嵌入、秘密数据提取和解密。其次使用设计的信息隐藏算法将木马程序当作秘密数据嵌入到载体图像中,并将木马提取程序的可执行文件、嵌入木马程序的图片、可执行木马注入程序以普通文件格式上传到网络服务器。用户浏览挂马网站时被投放木马,木马运行之后先隐藏自身然后对盗取的用户数据在本地进行加密之后同样采用信息隐藏算法隐写到载体图像。最后木马集成的自动发博客脚本将载密多媒体文件上传至社交网络,黑客从而可以通过开放的社交网络渠道下载并提取秘密数据。采用本发明提出的方案,可以实现信息的隐蔽通信盗取,同时具有抗取证、防追踪的优点。本发明同时证明在社交网络如微信、QQ等即时通信中,如果此类型木马被利用,则可能造成用户隐私泄露。

Description

一种基于信息隐藏技术的木马植入途径
技术领域
本发明涉及计算机信息安全、网络安全与隐蔽通信技术领域,特别是适用于通过社交网络多媒体共享行为实现隐蔽通信的信息盗取,且通信信道具有很强的隐蔽性和防追踪性能。
背景技术
随着互联网技术的发展,网络中的木马程序泛滥,木马技术是一种常用的网络攻击技术,由于其本身的技术优势及利益驱动因得到广泛的应用。木马在渗透到受控端系统内部后可以建立一个稳固的内部攻击点,为后续进一步的攻击提供一个畅通无阻的安全通道,再由里及外,内外结合,往往可以收到更好的攻击效果。随着黑客技术不断发展,新型木马和变种木马不断涌现,深入研究各式各样的木马才能针锋相对地做出防御,对保障国家网络安全具有重要意义。
当前社交网络风靡全球。多种即时通讯应用如MSN Message、WeChat、QQ等大量采用了 P2P技术,用户可以在线实时交流语音、文本、视频、图像等多媒体数据。无孔不入的黑客极可能利用信息隐藏技术在多媒体数据中植入木马进行海量传播,从而为隐私泄露提供了新的载体和途径。木马等黑客工具通常采用端对端的c/s架构通信,受害目标和黑客之间直接相连,且回传的信息都是公开的,易暴露传输内容并被取证,控制端容易被溯源。
发明内容
本发明要解决的技术问题是:针对上述存在的问题,本发明使用隐写术将木马程序隐藏到图像中,以一种非可执行文件的形式突破现有防火墙的拦截入侵到目标主机,渗透成功后,盗取的数据同样采用信息隐藏算法隐藏到JPEG载体图像。本发明中的木马并不主动进行端对端回传数据,而是建立在木马集成的自动发博客脚本将载密多媒体文件上传至社交网络的基础上,同时社交应用使用频繁的受害者也较大可能主动外传数据。攻击者与手受害者不存在直接的通信连接,有效地利用了信息隐藏的技术优势来隐藏在社交网络共享行为中通信的存在。因此实现对目标用户、指定数据进行数据采集和盗取的一种隐蔽性更好、透明性更高的、防追踪性能更好信息盗取方案。JPEG图像隐藏算法,不仅嵌入量较大,同时通信较隐蔽具有一定的抗取证作用,降低木马通信暴露的几率。
本发明提供了一种基于信息隐藏技术的木马植入途径,用于网络中隐蔽通信与信息盗取,技术方案如下:
1、一种基于信息隐藏技术的木马植入途径,针对木马程序的隐藏与通信技术提出一种新型的计算机木马,将其与信息隐藏技术结合起来,实现一种通信隐蔽性非常高的木马渗透方案。其特征在于,包括以下步骤:
A、将木马DLL程序采用一维混沌加密算法加密成密文,混沌系统的初值x0与系统参数μ作为系统的密钥。采用信息隐藏算法将木马DLL程序密文嵌入到合适的载体图像中,并记录嵌入位置和嵌入容量。
B、搭建web服务器,将嵌入了木马DLL程序的载体图像上传到web服务器,同时木马提取程序的可执行文件、可执行木马注入程序以普通文件格式上传到web服务器。
C、用户访问挂马网站,相关文件被下载到用户主机。浏览器调用js脚本将木马提取程序运行,之后根据嵌入位置等参数使用信息隐藏提取算法得到DLL文件并注入到正常的进程之中。
D、木马运行后先隐藏自身,接着扫描用户数据并使用隐藏算法将扫描的数据嵌入到载体图像,接着运行自动发微博功能将载体图像上传至社交网络。
E、攻击者从公开的社交网络渠道下载载体图像,并使用提取算法获得用户的隐私数据
2、根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤A 进一步包括以下步骤:
A1、使用以初值x0和系统参数为μ的一维混沌方程Xk+1=μ*xk(1-xk)产生随机数列。
A2、根据公式进行加密,其中Mn为明文序列,Xn为混沌序列,En为密文序列。
A3、信息隐藏算法的文件解码模块首先读取JPEG图片文件,秘密信息读取模块录入A2 步骤得到的密文,并判断是否可以嵌入。
A4、当判断可以嵌入后,信息隐藏算法的隐写模块将密文嵌入到载体图像。
2、根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤B 进一步包括以下步骤:
B1、在windows系统中使用tomcat搭建挂马网页的服务器,上传载密载体图像。
B2、编写简单前端html页面以及后台逻辑,页面中加载服务器上的隐写有木马功能模块的图片。
B3、上传编写好的js脚本和木马提取程序到服务器。
3、根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤C 进一步包括以下步骤:
C1、用户访问挂木马网页,载密载体图像、木马提取程序的可执行文件、可执行木马注入程序被下载到用户主机。
C2、浏览器加载js脚本,运行木马提取程序的可执行文件得到包含木马所有功能的DLL 文件。
C3、浏览器加载js脚本,运行木马注入程序,将DLL采用远程线程注入技术加载到正常运行的系统进程中。
4、根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤D 进一步包括以下步骤:
D1、木马隐藏自身功能:利用windows系统的默认特性,将木马的两个文件设置为隐藏属性,并修改注册表系统启动加载项,设置开机自启动。
D2、木马DLL程序扫描收集用户的隐私数据,并同样使用隐藏算法嵌入到载体图像中。
D3、木马DLL程序将载密的载体图像通过自身集成自动发微博脚本功能上传至社交网络。
5、根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤E 进一步包括以下步骤:
E1、用户通过公开社交网络渠道下载载体图像。
E2、使用提取算法获得隐私数据:首先提取算法的解码模块对载体图像进行解码。
E2、秘密信息提取模块根据秘密信息长度和嵌入容量提取最终的用户隐私信息。
附图说明
图1为本发明方法中整体方案的具体实施流程图。
图2为本发明方法中JPEG图像嵌入算法流程图。
图3为本发明方法中JPEG图像提取算法流程图。
图4为本发明方法中木马DLL程序远程线程注入的流程图。
具体实施方式
为使本发明的上述特征和优点更明显易懂,下面结合具体实施方式和附图对本发明作进一步详细说明。
请参阅图1,其展示了本发明方法中整体方案的具体实施流程图,其具体实现过程包括以下具体步骤:
步骤101、将木马DLL程序采用一维混沌加密算法加密成密文,混沌系统的初值x0与系统参数μ作为系统的密钥。
步骤102、使用信息隐藏算法将密文隐藏到载体图像。信息隐藏算法的文件解码模块首先读取JPEG图片文件,秘密信息读取模块录入的密文,判断是可以嵌入之后信息隐藏算法的隐写模块将密文嵌入到载体图像。
步骤103、使用tomcat搭建web服务器,将嵌入了木马DLL程序的载体图像上传到web 服务器,同时木马提取程序的可执行文件、可执行木马注入程序以普通文件格式上传到web 服务器。编写简单前端html页面以及后台逻辑,页面中加载服务器上的隐写有木马功能模块的图片,Html页面嵌入编写好的js脚本。
步骤104、用户浏览挂马网络,相关文件被下载到用户主机。
步骤104、浏览器加载js脚本,运行木马提取程序的可执行文件之后,根据嵌入位置等参数使用信息隐藏提取算法得到包含木马所有功能的DLL文件。浏览器加载js脚本,运行木马注入程序将DLL采用远程线程注入技术加载到正常运行的系统进程中。
步骤105、DLL木马程序隐藏相关木马文件:利用windows系统的默认特性,将木马的两个文件设置为隐藏属性。DLL木马程序修改注册表系统启动加载项,设置开机自启动。
步骤106、木马DLL程序扫描收集用户的隐私数据,并同样使用隐藏算法嵌入到载体图像中。木马DLL程序将载密的载体图像通过自身集成自动发微博脚本功能上传至社交网络。
步骤107、用户通过公开社交网络渠道下载载体图像。使用提取算法获得隐私数据:首先提取算法的解码模块对载体图像进行解码。秘密信息提取模块根据秘密信息长度和嵌入容量提取最终的用户隐私信息。
图2是本发明具体实施方法中JPEG图像嵌入算法的流程图。如图2所示,JPEG图像嵌入算法包括以下步骤:
步骤201、JPEG文件解码模块首先读取M*N大小的JPEG图片文件,调用libjpeg库的接口函数读取量化后的DCT系数,并将读取的DCT系数存储在临时文件中。
步骤202、秘密信息读取模块读取到DCT块的个数,进而确定图像隐藏容量与待嵌入的秘密信息相比,判断其大小是否可以实现隐藏,待嵌入秘密信息文件长度存入JPEG载体图像 LSB中。
步骤203、将DCT系数分组,待隐藏秘密信息平均嵌入每个DCT分组中。图片的前64个字节用于隐藏秘密信息长度的,在提取秘密信息时可以正确得到秘密信息的大小。
步骤204、隐写模块将扫描秘密信息确定隐藏秘密信息的哪个字节哪个比特位,然后利用伪随机数生成器生成随机数来确定对哪个位置的DCT系数进行嵌入。
步骤205、隐写模块将秘密信息的比特位替换该DCT系数的最低比特位以完成秘密信息的嵌入。
步骤206、重复步骤205,直到秘密数据全部隐写完成,将替换后的DCT系数写成载密JPEG 文件。
图3是本发明具体实施方法中JPEG图像提取算法的流程图。如图3所示,JPEG图像提取算法包括以下步骤:
步骤301、JPEG文件解码模块首先读取JPEG图片文件,调用libjpeg库的接口函数读取量化后的DCT系数,并将读取的DCT系数存储在临时文件中。
步骤302、秘密信息提取模块通过读取载密图像前64个字节DCT系数的最低比特位得到秘密信息文件的长度,并且通过伪随机数产生器确定提取信息的位置。
步骤303、秘密信息提取模块将该位置处的DCT系数的最低比特位提取出来写入文件生成秘密信息文件。
图4是本发明具体实施方法中木马DLL程序远程线程注入的流程图。如图3所示,木马 DLL程序远程线程注入包括以下步骤:
步骤401、调整权限,使程序可以访问其他进程的内存空间(EnableDebugPriv)。
步骤402、得到远程进程的HANDLE(OpenProcess)。
步骤403、在远程进程中为要注入的数据分配内存(VirtualAllocEx)。
步骤404、将注入DLL复制到本进程,实现函数DLL装载过程(MapInjectFile)。
步骤405、把DLL资源复制到分配的内存中(WriteProcessMemory)。
步骤406、用CreateRemoteThread启动远程的线程。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (6)

1.一种基于信息隐藏技术的木马植入途径,针对木马程序的隐藏与通信技术提出一种新型的计算机木马,将其与信息隐藏技术结合起来,实现一种通信隐蔽性非常高的木马渗透方案。其特征在于,包括以下步骤:
A、将木马dll程序采用一维混沌加密算法加密成密文,混沌系统的初值x0与系统参数μ作为系统的密钥。采用信息隐藏算法将木马dll程序密文嵌入到合适的载体图像中,并记录嵌入位置和嵌入容量。
B、搭建web服务器,将嵌入了木马dll程序的载体图像上传到web服务器,同时木马提取程序的可执行文件、可执行木马注入程序以普通文件格式上传到web服务器。
C、用户访问挂马网站,相关文件被下载到用户主机。浏览器调用js脚本将木马提取程序运行,之后根据嵌入位置等参数使用信息隐藏提取算法得到dll文件并注入到正常的进程之中。
D、木马运行后先隐藏自身,接着扫描用户数据并使用隐藏算法将扫描的数据嵌入到载体图像,接着运行自动发微博功能将载体图像上传至社交网络。
E、攻击者从公开的社交网络渠道下载载体图像,并使用提取算法获得用户的隐私数据
2.根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤A进一步包括以下步骤:
A1、使用以初值x0和系统参数为μ的一维混沌方程Xk+1=μ*xk(1-xk)产生随机数列。
A2、根据公式进行加密,其中Mn为明文序列,Xn为混沌序列,En为密文序列。
A3、信息隐藏算法的文件解码模块首先读取JPEG图片文件,秘密信息读取模块录入A2步骤得到的密文,并判断是否可以嵌入。
A4、当判断可以嵌入后,信息隐藏算法的隐写模块将密文嵌入到载体图像。
3.根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤B进一步包括以下步骤:
B1、在windows系统中使用tomcat搭建挂马网页的服务器,上传载密载体图像。
B2、编写简单前端html页面以及后台逻辑,页面中加载服务器上的隐写有木马功能模块的图片。
B3、上传编写好的js脚本和木马提取程序到服务器。
4.根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤C进一步包括以下步骤:
C1、用户访问挂木马网页,载密载体图像、木马提取程序的可执行文件、可执行木马注入程序被下载到用户主机;
C2、浏览器加载js脚本,运行木马提取程序的可执行文件得到包含木马所有功能的dll文件;
C3、浏览器加载js脚本,运行木马注入程序,将dll采用远程线程注入技术加载到正常运行的系统进程中,具体包括以下六个小步骤即可实现远程线程注入:
(1)调整权限,使程序可以访问其他进程的内存空间(EnableDebugPriv)。
(2)得到远程进程的HANDLE(OpenProcess)。
(3)在远程进程中为要注入的数据分配内存(VirtualAllocEx)。
(4)将注入DLL复制到本进程,实现函数DLL装载过程(MapInjectFile)。
(5)把DLL资源复制到分配的内存中(WriteProcessMemory)。
(6)用CreateRemoteThread启动远程的线程。
5.根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤D进一步包括以下步骤:
D1、木马隐藏自身功能:利用windows系统的默认特性,将木马的两个文件设置为隐藏属性,并修改注册表系统启动加载项,设置开机自启动。
D2、木马dll程序扫描收集用户的隐私数据,并同样使用隐藏算法嵌入到载体图像中。
D3、木马dll程序将载密的载体图像通过自身集成自动发微博脚本功能上传至社交网络。
6.根据权利要求1所述的一种基于信息隐藏技术的木马植入途径,其特征在于,步骤E进一步包括以下步骤:
E1、用户通过公开社交网络渠道下载载体图像。
E2、使用提取算法获得隐私数据:首先提取算法的解码模块对载体图像进行解码。
E2、秘密信息提取模块根据秘密信息长度和嵌入容量提取最终的用户隐私信息。
CN201711065078.1A 2017-11-02 2017-11-02 一种基于信息隐藏技术的木马植入途径 Pending CN107800705A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711065078.1A CN107800705A (zh) 2017-11-02 2017-11-02 一种基于信息隐藏技术的木马植入途径

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711065078.1A CN107800705A (zh) 2017-11-02 2017-11-02 一种基于信息隐藏技术的木马植入途径

Publications (1)

Publication Number Publication Date
CN107800705A true CN107800705A (zh) 2018-03-13

Family

ID=61548689

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711065078.1A Pending CN107800705A (zh) 2017-11-02 2017-11-02 一种基于信息隐藏技术的木马植入途径

Country Status (1)

Country Link
CN (1) CN107800705A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108959572A (zh) * 2018-07-04 2018-12-07 北京知道创宇信息技术有限公司 一种网络溯源方法、装置、电子设备及存储介质
CN110069936A (zh) * 2019-03-29 2019-07-30 合肥高维数据技术有限公司 一种木马隐写方法和检测方法
CN110855705A (zh) * 2019-11-23 2020-02-28 赣南师范大学 面向网络攻击与防护的无端口隐蔽通信方法
CN112052471A (zh) * 2020-09-17 2020-12-08 青岛大学 一种基于社交网络空间的信息隐藏方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108959572A (zh) * 2018-07-04 2018-12-07 北京知道创宇信息技术有限公司 一种网络溯源方法、装置、电子设备及存储介质
CN110069936A (zh) * 2019-03-29 2019-07-30 合肥高维数据技术有限公司 一种木马隐写方法和检测方法
CN110855705A (zh) * 2019-11-23 2020-02-28 赣南师范大学 面向网络攻击与防护的无端口隐蔽通信方法
CN112052471A (zh) * 2020-09-17 2020-12-08 青岛大学 一种基于社交网络空间的信息隐藏方法

Similar Documents

Publication Publication Date Title
Mazurczyk et al. Steganography in modern smartphones and mitigation techniques
US8984292B2 (en) Keyed human interactive proof players
CN107800705A (zh) 一种基于信息隐藏技术的木马植入途径
Trottier Policing social media
Anderson et al. Privacy-enabling social networking over untrusted networks
Van Gundy et al. Catch Me, If You Can: Evading Network Signatures with Web-based Polymorphic Worms.
CN108512830A (zh) 信息加密处理方法、装置、计算机设备和存储介质
US8856900B2 (en) Method for authorising a connection between a computer terminal and a source server
CN100416446C (zh) 检测对受保护计算机资源攻击的方法和系统
CN105187389B (zh) 一种基于数字混淆加密的网页访问方法及系统
CN104469767A (zh) 一套移动办公系统中集成式安全防护子系统的实现方法
CN106446632A (zh) 应用程序的隐藏显示启动方法和隐藏显示启动装置
CN110266682B (zh) 数据加密方法、装置、移动终端及解密方法
CN110990800B (zh) 一种基于应用程序的水印处理方法及系统
CN112182614B (zh) 一种动态Web应用防护系统
CN104899499A (zh) 基于互联网图片搜索的Web验证码生成方法
CN115795538B (zh) 脱敏文档的反脱敏方法、装置、计算机设备和存储介质
CN110084064A (zh) 基于终端的大数据分析处理方法及系统
CN111245838A (zh) 一种反爬虫保护关键信息的方法
CN105491069B (zh) 云存储中基于抵抗主动攻击的完整性验证方法
Gupta et al. Social media security analysis of threats and security measures
CN116132715A (zh) 一种用于视频溯源与安全验证的方法与装置
CN105653994A (zh) 一种用于防止内存密码泄漏的方法
CN113904810B (zh) 一种隐私保护安全浏览方法
Aljamea et al. Detection of URL in image steganography

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180313

WD01 Invention patent application deemed withdrawn after publication