GHOSTPULSE skriva svoj obstoj v datotekah PNG, da se izogne odkrivanju Kibernetski napad: GHOSTPULSE skrito deluje znotraj slikovnih datotek PNG Zlorabljena PNG datoteka skriva zlonamerno programsko opremo GHOSTPULSE Kako se zlonamerna koda GHOSTPULSE skriva v PNG datotekah GHOSTPULSE: zviti kibernetski napad skrit v PNG datotekah

GHOSTPULSE skriva svoj obstoj v datotekah PNG, da se izogne odkrivanju Kibernetski napad: GHOSTPULSE skrito deluje znotraj slikovnih datotek PNG Zlorabljena PNG datoteka skriva zlonamerno programsko opremo GHOSTPULSE Kako se zlonamerna koda GHOSTPULSE skriva v PNG datotekah GHOSTPULSE: zviti kibernetski napad skrit v PNG datotekah

## Razumevanje GHOSTPULSE in njegovih taktik

Kibernetski napadi postajajo vse bolj sofisticirani, z zlonamerno programsko opremo, kot je GHOSTPULSE, ki uporablja inovativne tehnike, da se izogne zaznavi. Ta blog bo razkril, kako GHOSTPULSE skriva podatke v strukturi pikslov PNG in kako socialni inženiring igra ključno vlogo v teh napadih.

### Zasnova GHOSTPULSE

GHOSTPULSE je razvil svojo tehniko zakritja, ki vključuje šifrirane podatke v strukturo pikslov PNG. Zlonamerne kampanje pogosto uporabljajo taktike socialnega inženiringa, da pridobijo zaupanje žrtev. Klasičen primer so ukazi bližnjic na tipkovnici, sproženi s CAPTCHA, ki služijo kot sredstvo za dostavo zlonamernih bremen.

– GHOSTPULSE uporablja šifrirane konfiguracijske PNG datoteke.
– Ta pristop otežuje odkrivanje s tradicionalnimi metodami.
– Kibernetski napadi so v zadnjem času močno napredovali.

### Kako zlonamerna programska oprema deluje

Nedavni kibernetski napadi uporabljajo [taktike socialnega inženiringa](https://cyberpress.org/social-engineering-threat-to-developers/) za zvabljanje žrtev. Njihov cilj je, da žrtve izvajajo zlonamerne PowerShell skripte. Te skripte so ključne za prenos in izvajanje GHOSTPULSE, zaradi česar je ta zlonamerna programska oprema pogost orodje v računalniškem kriminalu.

#### Razvoj zlonamerne programske opreme

1. **Prehod iz večdatotečnega paketav enotno datoteko**
GHOSTPULSE se je iz večdatotečnega paketa razvil v enotno, samostojno izvedljivo datoteko. Ta verzija vključuje šifrirano PNG datoteko, kar poenostavi uvajanje in zmanjša opaznost zlonamerne aktivnosti.

2. **Algoritmi za skeniranje**
Zlonamerna programska oprema uporablja nov način iskanja konfiguracijskih datotek. Algoritem zgoščevanja prispeva k učinkovitemu reševanju imen Windows API. Ta metoda je ključna za iskanje niza IDAT, ki mu sledi določen 4-bajtni tag.

### Proces odkrivanja in dešifriranja

Kadar GHOSTPULSE najde ustrezen tag, iz PNG datoteke izlušči šifrirani delček, kar omogoča ponovitev procesa za kasnejše nize IDAT.

– **Izvlečenje vrednosti RGB**
Zlonamerna programska oprema ustvarja bajtni niz iz izvlečenih RGB vrednosti in išče specifično strukturo uporabe CRC32 zgoščevanja. Ko je ta struktura najdena, se izvleče konfiguracija GHOSTPULSE, vključno s ključem XOR, ki se nato dešifrira.

![vizualni pregled procesa](https://lh7-rt.googleusercontent.com/docsz/AD_4nXcrQMfCUFNTzY1nrA9j9HwxRvMkaIonD32EAV36NDFTpBJ1jam7znQVs83Rkd90ja1onis2BM7fRdn2mQyOUAy7hmB8EaogwSk98aOa3skjFZQnMNxwJ2XMd4I2mfoGUwM-69b8tbPJDjDepzEfh0bTMLIwUCypdhNa5laRfH12VkV-FV_fE8w?key=unVFeFv1LX9b1_yl0J1RDw)

##### Identifikacija s pravili YARA

Posodobljena pravila YARA zaznavajo trojanca GHOSTPULSE na temelju specifičnih bajtnih nizov, ki jih vsebuje koda zlonamerne programske opreme. Dve glavni pravili, Windows_Trojan_GHOSTPULSE_1 in Windows_Trojan_GHOSTPULSE_2, sta zasnovani za preprečevanje zadnje faze okužbe.

– **Prvo pravilo** išče vzorce, povezane s prvo in drugo fazo okužbe.
– **Drugo pravilo** se osredotoča na specifično zaporedje izvajanja zlonamerne programske opreme.

### Zakonodajne odgovore na kibernetske grožnje

Po podatkih [Elastic Security Labs](https://www.elastic.co/security-labs/tricks-and-treats), GHOSTPULSE uporablja nove metode za vnašanje podatkov v strukture pikslov. Ta napredna tehnika izogibanja zaznavi poudarja, kako pomembno je, da se tako napadalci kot branilci nenehno posodabljajo in sodelujejo.

### Zaključek

Zlonamerna programska oprema GHOSTPULSE predstavlja preizkušnjo za varnostne strokovnjake. Metode, ki jih uporablja, so primer napredne tehnologije, ki se skriva v običajnih datotekah, kot so tiste v formatu PNG. Izobraževanje in obveščanje o taktikah, kot je socialni inženiring, je nujno za zaščito pred takšnimi napadi.

Priporočamo, da se dodatno seznanite z [izogibanjem GHOSTPULSE](https://krofeksecurity.com/ghostpulse-skriva-svoj-obstoj-v-datotekah-png-cyberattacks-zlonamerna-programska-oprema-socialni-inzeniring), da si zagotovite več informacij o tem, kako se braniti pred tovrstnimi grožnjami.

Za več podrobnosti in nasvetov o zaščiti pred kibernetskimi napadi, vas vabimo, da se pridružite pogovoru v našem naslednjem blogu!

Leave a Reply

Your email address will not be published. Required fields are marked *