在当今最受关注的APT攻击和零时差漏洞利用中经常使用某些方法来逃避检测，而黑客用来在隐秘通道内隐藏数据的一切可能方法，就是我们所认为的“隐写术”

ZeusVM：在 JPG图片里隐藏恶意软件的配置文件

有一类Zeus病毒变种用一种特殊的方法隐藏它的配置文件，利用图片在其图像文件的末尾包含了一些数据，经过解密之后，会生成配置文件，而安全网关等设备不会报警，用户也不会发现。

（ZeusVM 下载的图片，里面暗藏了资料）

VAWTRAK 用收藏夹图标来隐藏配置文件

最近发现一个阴险的网银木马用网站的图标隐藏自己的配置， favicon.ico是浏览器显示在网址左边的一个小图，每个网站都有自己的favicon.ico，所以安全软件几乎不会做检查。

VAWTRAK 在影像当中使用了一种称为 LSB（最低位）的技巧来隐藏讯息，它通过改变图像的像素，使得用肉眼机乎不能观测的像素携带信息。

FakeReg在应用程序图标中隐藏配置文件

网站图标并不是唯一的选择,我们发现不止一种Android病毒（ANDROIDOS_SMSREG.A）将配置文件隐藏在程序图标中。 

（携带病毒配置文件的安卓图标，由于该图含有色情内容，所以进行了处理）

VBKlip在 HTTP协议中隐藏数据

VBKlip 这个网银木马（在波兰非常流行）监控用户使用的网银账户，一旦发现可用账户，便会将转账目标26位数进行变换,生成新的账号,用来拦截用户的支付。新账号是一个洗钱组织，由C&C服务器用一种非常规的方式下达。该病毒会向C&C服务器发起一个毫无意义的HTTP链接，例如：

GET g4x6a9k2u.txt HTTP/1.1

这是一个几乎没人会注意的请求，然而服务器返回的信息包含了重要内容：

（C&C服务器的HTTP回应标头）

上面的base64编码的字符串，解开之后就是一个银行账号，受害者将会向这个账户付款。虽然这不是完全意义上的隐写术，但仍符合前面判定标准：利用非常规的渠道隐藏重要数据，导致外人很难察觉。

转载请标明文章来源于趋势科技！