真っ白なステガノグラフィ

画像ファイルへのステガノグラフィってのがありますが、そういうのではないタイプのものが確認されています。

今回はCSSファイルがその隠し場所になっています。
CSSファイルというと、普通はWebサイトの見栄えに関連する色や各種大きさなどの内容を指定するために使われたりします。
で、そういった性質上通常の利用においては、改行や空白などは読み飛ばされるものであり、特別な意味を持つものではありません。

しかし、今回の思いついた人は違いました。
CSSファイルの中に大量のタブコード、スペース、改行を入れます。
で、これらを準備したJavaScriptでそれぞれbinaryの要素と見立てて読み取り、そのCSSからまったく別のファイルとして取り出す、ということをやったわけです。

この空白文字を使ったデコーダ機構そのものはこのマルウェア作者の作成したものではなかったそうです。公開されている空白デコーダ機構を見つけたマルウェア作者は、そのコードをそのまま拝借して使ったようです。

いろいろと思いつく人がいるのですね。車輪の再開発はしない。すでにあるものは使う。
頭が柔らかいのはいいことですが、それはいいことに使いたいなと思いました。

参考記事（外部リンク）：Whitespace Steganography Conceals Web Shell in PHP Malware
blog.sucuri.net/2021/02/whitespace-steganography-conceals-web-shell-in-php-malware.html