Rosszindulatú programok rejtőznek a képeken? Valószínűbb, mint gondolná

Malware, digitális biztonság

Egyes képekben több van, mint amilyennek látszik – ártatlannak tűnő homlokzatuk baljós fenyegetést takarhat el.

Szabó Márk

02 április 2024
 • 
,
4 perc olvas

A kiberbiztonsági szoftverek képessé váltak a gyanús fájlok észlelésére, és mivel a vállalkozások egyre inkább tudatában vannak annak, hogy további védelmi rétegekkel kell javítani a biztonsági helyzetüket, szükségessé vált az észlelés elkerülése érdekében tett trükkök.

Lényegében minden kiberbiztonsági szoftver elég erős ahhoz, hogy észlelje a legtöbb rosszindulatú fájlt. Ezért a fenyegetések szereplői folyamatosan különféle módokat keresnek az észlelés elkerülésére, és ezek közül a technikák közé tartozik a képekbe vagy fényképekbe rejtett rosszindulatú programok használata.

A képeken rejtőző rosszindulatú programok

Lehet, hogy messziről hangzik, de teljesen valóságos. A különféle formátumú képek belsejében elhelyezett rosszindulatú programok az eredménye szteganográfia, az adatok fájlon belüli elrejtésének technikája az észlelés elkerülése érdekében. Az ESET Research észlelte, hogy ezt a technikát a Worok kiberkémkedési csoport, akik rosszindulatú kódot rejtettek el a képfájlokban, és csak meghatározott pixelinformációkat vettek át tőlük, hogy kivonják a végrehajtáshoz szükséges hasznos adatokat. Ne feledje, hogy ez a már feltört rendszereken történt, mivel amint azt korábban említettük, a rosszindulatú programok képekben való elrejtése inkább az észlelés elkerülését jelenti, mint a kezdeti hozzáférést.

A rosszindulatú képeket leggyakrabban webhelyeken teszik elérhetővé, vagy dokumentumokba helyezik el. Néhányan emlékezhetnek a reklámprogramokra: hirdetési bannerekbe rejtett kód. Önmagában a képben lévő kód nem futtatható, nem hajtható végre vagy nem bontható ki önmagában beágyazott állapotban. Egy másik rosszindulatú programot kell szállítani, amely gondoskodik a rosszindulatú kód kibontásáról és futtatásáról. Itt a felhasználói interakció szükséges szintje különböző, és az, hogy valaki mennyire valószínű, hogy észreveszi a rosszindulatú tevékenységet, inkább a kibontásban érintett kódtól függ, mint magától a képtől.

A legkisebb (legnagyobb) jelentőségű bit(ek)

A rosszindulatú kód képbe ágyazásának egyik ravaszabb módja az, ha minden pixel piros-zöld-kék-alfa (RGBA) értékének legkevésbé szignifikáns bitjét az üzenet egy kis darabjával helyettesítjük. Egy másik technika az, hogy beágyazunk valamit a kép alfa-csatornájába (ez egy szín átlátszatlanságát jelöli), és csak egy ésszerűen jelentéktelen részt használunk fel. Így a kép többé-kevésbé ugyanolyannak tűnik, mint a normál, így szabad szemmel nehéz észrevenni a különbséget.

Példa erre, amikor a legitim hirdetési hálózatok olyan hirdetéseket jelenítettek meg, amelyek potenciálisan rosszindulatú szalaghirdetések küldéséhez vezettek egy feltört szerverről. A JavaScript kódot kivonták a szalaghirdetésből, kihasználva a CVE-2016-0162 biztonsági rés az Internet Explorer egyes verzióiban, hogy további információkat kapjon a célról.

A képekből kinyert rosszindulatú rakományok különféle célokra felhasználhatók. Az Explorer sebezhetősége esetén a kibontott szkript ellenőrizte, hogy fut-e egy felügyelt gépen – például egy rosszindulatú programelemző gépén. Ha nem, akkor átirányított egy exploit kit nyitóoldal. A kizsákmányolás után egy végső rakományt használtak fel rosszindulatú programok, például hátsó ajtók, banki trójai programok, kémprogramok, fájllopók és hasonlók szállítására.

Mint látható, a tiszta és a rosszindulatú kép között meglehetősen kicsi a különbség. Egy hétköznapi ember számára a rosszindulatú kép csak kicsit másképp nézhet ki, és ebben az esetben a furcsa megjelenés a rossz képminőségre és felbontásra vezethető vissza, de a valóság az, hogy a jobb oldali képen kiemelt sötét képpontok rosszindulatú kód jele.

Nincs ok a pánikra 

Felmerülhet a kérdés, vajon a közösségi médiában látott képek rejthetnek-e veszélyes kódot. Vegyük figyelembe, hogy a közösségi oldalakra feltöltött képek általában erősen tömörítettek és módosítottak, ezért nagyon problémás lenne egy fenyegetettség szereplője számára, ha teljesen megőrzött és működő kódot rejtene el bennük. Ez talán nyilvánvaló, ha összehasonlítja, hogyan jelenik meg egy fotó az Instagramra való feltöltése előtt és után – jellemzően egyértelmű minőségi különbségek vannak.

A legfontosabb, hogy az RGB pixelrejtés és más szteganográfiai módszerek csak akkor jelenthetnek veszélyt, ha a rejtett adatokat egy olyan program olvassa be, amely képes kivonni a rosszindulatú kódot és végrehajtani azt a rendszeren. A képeket gyakran használják a webhelyről letöltött rosszindulatú programok elrejtésére irányítás és vezérlés (C&C) szervereket, hogy elkerülje a kiberbiztonsági szoftver általi észlelést. Egy esetben egy trójai hívott ZeroT, az e-mailekhez csatolt fertőzött Word-dokumentumokon keresztül letöltötték az áldozatok gépeire. Azonban nem ez a legérdekesebb része. Az érdekes az, hogy letöltötte a PlugX RAT (más néven Korplug) egy változatát is – szteganográfia segítségével kinyerte a rosszindulatú programokat egy Britney Spears képe.

Más szóval, ha védett az olyan trójaiak ellen, mint a ZeroT, akkor nem kell annyira törődnie a szteganográfia használatával.

Végül, a képekből kinyert bármely kihasználó kód attól függ, hogy a sikeres kihasználáshoz milyen sérülékenységek vannak jelen. Ha a rendszered már javítva van, akkor nincs esély arra, hogy az exploit működjön; ezért érdemes mindig naprakészen tartani a kibervédelmet, az alkalmazásokat és az operációs rendszereket. Az exploit kitekkel való kizsákmányolás elkerülhető teljesen javított szoftver futtatásával és megbízható, frissített szoftver használatával biztonsági megoldás.

Ugyanaz kiberbiztonsági szabályokat alkalmazza, mint mindig – és a tudatosság az első lépés a kiberbiztonságosabb élet felé.