威胁行为者在.WAV音频文件中嵌入恶意负载

执行摘要

根据SANS互联网风暴中心（ISC）的一份报告，威胁行为者正在积极使用.WAV音频文件来传递恶意软件。这种技术涉及在标准.WAV文件的音频数据中嵌入恶意有效载荷，使攻击者能够绕过可能不会深入检查这种常见媒体格式的安全控制。源材料中没有详细说明具体的恶意软件家族和传递机制。

技术分析

SANS ISC日记条目确认了.WAV文件作为恶意软件载体的使用，但没有提供有关嵌入方法、有效载荷或利用链的技术细节。.WAV格式，作为未压缩音频的标准，可以被操纵以在其结构中包含非音频数据。这种技术，通常被称为隐写术或文件多语种，允许攻击者在看似合法的音轨文件中隐藏可执行代码或脚本。源材料中缺乏详细分析，留下了关于确切实现方式的不确定性，无论恶意数据是附加、前置还是交错在音频样本中，以及什么触发了有效载荷的执行。

入侵指标

源材料中未识别出任何指标。

战术、技术与程序

根据SANS报告，主要的TTP是使用可信文件类型（.WAV）进行传递（T1566.001：钓鱼附件）。该技术可能属于防御规避（TA0005），特别是将数据隐藏在合法文件格式中（T1027.003：隐写术）。初始访问向量（例如，钓鱼电子邮件、恶意下载链接）和执行触发器未指定。

威胁行为者背景

源材料没有将此活动归因于已知的威胁行为者或团体。使用.WAV文件是一种已知的规避策略，被各种行为者采用，从商品恶意软件分销商到更高级的持续威胁，寻求绕过基于签名的检测和用户的怀疑。

缓解措施与建议

组织应将所有文件类型，包括媒体文件，视为潜在的威胁载体。安全控制应配置为检查文件的实际内容，而不仅仅是它们的扩展名。电子邮件和网络网关应调整以标记或隔离隐藏在非可执行文件容器中的可执行内容。端点检测和响应（EDR）工具应监控从媒体播放器或相关应用程序生成的可疑进程。用户意识培训应强调对未经请求的音频文件保持谨慎。