사진 속에 악성코드가 숨어 있나요? 생각보다 확률이 높네요

악성 코드, 디지털 보안

일부 이미지에는 눈에 보이는 것보다 더 많은 것이 있습니다. 겉보기에 순진해 보이는 외관이 사악한 위협을 가릴 수 있습니다.

마르크 자보

02 4월 2024
 • 
,
4 분. 읽다

사이버 보안 소프트웨어는 의심스러운 파일을 탐지하는 능력이 상당히 향상되었으며 기업이 추가 보호 계층을 통해 보안 상태를 강화해야 할 필요성을 점점 더 인식하게 되면서 탐지를 회피하기 위한 속임수가 필요해졌습니다.

본질적으로 모든 사이버 보안 소프트웨어는 대부분의 악성 파일을 탐지할 만큼 강력합니다. 따라서 위협 행위자는 탐지를 회피하기 위해 지속적으로 다양한 방법을 모색하고 있으며, 이러한 기술 중에는 이미지나 사진에 숨겨진 악성 코드를 사용하는 것이 있습니다.

이미지에 숨어있는 악성코드

터무니없는 것처럼 들릴 수도 있지만 이는 매우 현실적입니다. 다양한 형식의 이미지 내부에 배치된 악성 코드는 다음과 같은 결과입니다. 스테 가노 그라피, 탐지를 피하기 위해 파일 내에 데이터를 숨기는 기술입니다. ESET 연구에서는 이 기술이 다음에서 사용되는 것을 발견했습니다. 워록 사이버 스파이 그룹, 이미지 파일에 악성 코드를 숨기고 특정 픽셀 정보만 추출하여 실행할 페이로드를 추출했습니다. 하지만 앞서 언급한 것처럼 이미지 내부에 악성 코드를 숨기는 것이 초기 액세스보다 탐지를 회피하는 것과 더 관련이 있기 때문에 이 작업은 이미 손상된 시스템에서 수행되었다는 점에 유의하세요.

대부분의 경우 악성 이미지는 웹사이트에 공개되거나 문서 내부에 배치됩니다. 일부는 애드웨어를 기억할 수도 있습니다. 광고 배너에 숨겨진 코드. 이미지에 포함된 코드만으로는 이미지의 코드를 실행하거나 실행하거나 추출할 수 없습니다. 악성 코드를 추출하고 실행하는 또 다른 악성 코드가 전달되어야 합니다. 여기서 필요한 사용자 상호 작용 수준은 다양하며 누군가가 악의적인 활동을 발견할 가능성은 이미지 자체보다는 추출과 관련된 코드에 더 많이 의존하는 것으로 보입니다.

최하위(가장) 중요한 비트

이미지에 악성 코드를 삽입하는 가장 교묘한 방법 중 하나는 모든 픽셀의 각 RGBA(적색-녹색-청색-알파) 값의 최하위 비트를 하나의 작은 메시지 조각으로 바꾸는 것입니다. 또 다른 기술은 합리적으로 중요하지 않은 부분만 사용하여 이미지의 알파 채널(색상의 불투명도를 나타냄)에 무언가를 삽입하는 것입니다. 이렇게 하면 이미지가 일반 이미지와 거의 동일하게 나타나 육안으로는 차이를 감지하기 어렵습니다.

이에 대한 예는 합법적인 광고 네트워크가 잠재적으로 손상된 서버에서 악성 배너를 전송하도록 유도하는 광고를 제공한 경우입니다. JavaScript 코드는 배너에서 추출되어 CVE-2016-0162 취약점 일부 Internet Explorer 버전에서는 대상에 대한 추가 정보를 얻기 위해 사용됩니다.

사진에서 추출된 악성 페이로드는 다양한 목적으로 사용될 수 있습니다. Explorer 취약점 사례에서는 추출된 스크립트가 악성 코드 분석가의 컴퓨터와 같이 모니터링되는 컴퓨터에서 실행되고 있는지 확인했습니다. 그렇지 않은 경우 다음으로 리디렉션되었습니다. 익스플로잇 킷 방문 페이지. 악용 후 최종 페이로드는 백도어, 뱅킹 트로이 목마, 스파이웨어, 파일 스틸러 등과 같은 악성 코드를 전달하는 데 사용되었습니다.

보시다시피 깨끗한 이미지와 악성 이미지의 차이는 다소 작습니다. 일반인의 경우 악성 이미지가 약간 다르게 보일 수 있으며, 이 경우 이상하게 보이는 것은 화질과 해상도가 좋지 않기 때문일 수 있지만 현실은 오른쪽 사진에서 강조된 어두운 픽셀이 모두 악성 코드의 징후.

당황할 이유가 없다 

그렇다면 소셜 미디어에서 보는 이미지에 위험한 코드가 포함되어 있는지 궁금할 것입니다. 소셜 미디어 웹사이트에 업로드된 이미지는 일반적으로 심하게 압축되고 수정되므로 위협 행위자가 완전히 보존되고 작동하는 코드를 숨기는 것은 매우 문제가 될 수 있습니다. Instagram에 사진을 업로드하기 전과 후에 사진이 어떻게 나타나는지 비교해 보면 이는 아마도 분명할 것입니다. 일반적으로 분명한 품질 차이가 있습니다.

가장 중요한 점은 RGB 픽셀 숨기기 및 기타 스테가노그래픽 방법은 악성 코드를 추출하여 시스템에서 실행할 수 있는 프로그램이 숨겨진 데이터를 읽을 때만 위험을 초래할 수 있다는 것입니다. 이미지는 종종 다음에서 다운로드한 악성 코드를 숨기는 데 사용됩니다. 명령 및 제어(C&C) 사이버 보안 소프트웨어의 탐지를 피하기 위한 서버입니다. 한 경우에는 다음과 같은 트로이 목마가 발생했습니다. 제로티는 이메일에 첨부된 감염된 Word 문서를 통해 피해자의 컴퓨터에 다운로드되었습니다. 그러나 그것은 가장 흥미로운 부분이 아닙니다. 흥미로운 점은 PlugX RAT(일명 Korplug)의 변종도 다운로드했다는 것입니다. 즉, 스테가노그래피를 사용하여 악성 코드를 추출합니다. 브리트니 스피어스의 이미지.

즉, ZeroT와 같은 트로이 목마로부터 보호받는다면 스테가노그래피 사용에 대해 그다지 신경 쓸 필요가 없습니다.

마지막으로, 이미지에서 추출되는 모든 익스플로잇 코드는 성공적인 익스플로잇을 위해 존재하는 취약점에 따라 달라집니다. 시스템이 이미 패치된 경우 악용될 가능성이 없습니다. 따라서 사이버 보호, 앱 및 운영 체제를 항상 최신 상태로 유지하는 것이 좋습니다. 완전히 패치된 소프트웨어를 실행하고 안정적이고 업데이트된 소프트웨어를 사용하면 익스플로잇 킷에 의한 악용을 피할 수 있습니다. 보안 솔루션.

똑같다 사이버 보안 규칙 언제나처럼 적용하십시오. 인식은 보다 안전한 사이버 생활을 향한 첫 번째 단계입니다.