信息来源：mottoin

最近几个月发布的两个报告显示，恶意软件攻击者正在尝试使用WAV音频文件来隐藏恶意代码。该技术被称为隐写术——一种将信息隐藏在另一种数据介质中的技术。

在软件领域，隐写术用于描述将文件或文本隐藏在其他格式的文件中的过程。例如，将纯文本隐藏在图像的二进制格式中。

恶意软件攻击者已经使用隐写术十多年了，但恶意软件攻击者不使用隐写术来破坏或感染系统，而只是将其作为一种转移方法。以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式（例如PNG或JEPG）展开。

但研究人员在最近发现的两起攻击事件中发现攻击者开始使用WAV音频文件，并渐渐有了泛滥的趋势。

WAV是最常见的声音文件格式之一，是微软公司专门为Windows开发的一种标准数字音频文件，该文件能记录各种单声道或立体声的声音信息，并能保证声音不失真。

 

早在今年6月，赛门铁克安全研究人员表示，他们发现了一个名为Waterbug（或Turla）的俄罗斯网络间谍组织，该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。

本月，BlackBerry Cylance发现了第二个恶意软件活动，但Cylance表示，他们看到了WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。

攻击者将WAV音频文件中的DLL隐藏，然后已存在于受感染主机上的恶意软件下载并读取MAV文件，一点一点提取DLL，然后运行并安装名为XMRrig的加密货币挖矿应用程序。

攻击者一般利用隐写术来分发木马或勒索软件下载器，这还是研究人员第一次发现有攻击者利用隐写术来分发挖矿软件。这表明加密货币挖矿恶意软件作者正从其他操作中学习，其复杂程度也在不断提高。

虽然基于WAV的隐写术有泛滥的趋势，但WAV、PNG和JPG文件并不是唯一可以滥用的文件格式。

隐写术可以与任何文件格式一起使用，只要攻击者遵守该格式的结构和约束，这样对目标文件进行的任何修改都不会破坏其完整性。

换句话说，通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案，因为这样最后的结果是许多流行格式都下载不了，例如JPEG、PNG、BMP、WAV、GIF、WebP、TIFF。

处理隐写术的正确方法是……什么也不做。由于隐身仅用作数据传输方法，因此公司应集中精力检测滥用隐写术的恶意软件的进入/感染点，或执行由隐身标记文件产生的未授权代码。