Skjuler skadelig programvare i bilder? Mer sannsynlig enn du tror

Skadelig programvare, digital sikkerhet

Det er mer med noen bilder enn man ser – deres tilsynelatende uskyldige fasade kan maskere en uhyggelig trussel.

Márk Szabó

April 02 2024
 • 
,
4 min. lese

Nettsikkerhetsprogramvare har vokst seg ganske i stand til å oppdage mistenkelige filer, og med bedrifter som i økende grad blir klar over behovet for å øke sikkerhetsposisjonen med ytterligere beskyttelseslag, har det blitt nødvendig å unndra seg å unndra seg.

I hovedsak er enhver cybersikkerhetsprogramvare sterk nok til å oppdage de fleste ondsinnede filer. Derfor søker trusselaktører kontinuerlig forskjellige måter å unngå oppdagelse på, og blant disse teknikkene er bruk av skadelig programvare skjult i bilder eller bilder.

Skadelig programvare gjemmer seg i bilder

Det høres kanskje langt ut, men det er ganske ekte. Skadelig programvare plassert inne i bilder av forskjellige formater er et resultat av steganografi, teknikken for å skjule data i en fil for å unngå oppdagelse. ESET Research oppdaget at denne teknikken ble brukt av Worok cyberspionagegruppe, som gjemte ondsinnet kode i bildefiler, og tok kun spesifikk pikselinformasjon fra dem for å trekke ut en nyttelast for å kjøre. Men vær oppmerksom på at dette ble gjort på allerede kompromitterte systemer, siden som nevnt tidligere handler det å skjule skadelig programvare i bilder mer om å unnvike oppdagelse enn førstegangstilgang.

Oftest blir ondsinnede bilder gjort tilgjengelige på nettsider eller plassert inne i dokumenter. Noen husker kanskje adware: kode skjult i annonsebannere. Alene kan ikke koden i bildet kjøres, kjøres eller trekkes ut av seg selv mens den er innebygd. En annen del av skadelig programvare må leveres som tar seg av å trekke ut den skadelige koden og kjøre den. Her er nivået av brukerinteraksjon som kreves forskjellig, og hvor sannsynlig det er at noen legger merke til ondsinnet aktivitet virker mer avhengig av koden som er involvert i utpakken enn av selve bildet.

Den minst (mest) signifikante biten(e)

En av de mer utspekulerte måtene å bygge inn ondsinnet kode i et bilde er å erstatte den minst signifikante biten av hver rød-grønn-blå-alfa-verdi (RGBA) for hver piksel med en liten del av meldingen. En annen teknikk er å legge inn noe i et bildes alfakanal (angir opasiteten til en farge), ved å bruke bare en rimelig ubetydelig del. På denne måten ser bildet mer eller mindre ut som et vanlig bilde, noe som gjør forskjellen vanskelig å oppdage med det blotte øye.

Et eksempel på dette var når legitime annonsenettverk viste annonser som potensielt førte til at et ondsinnet banner ble sendt fra en kompromittert server. JavaScript-kode ble trukket ut fra banneret ved å utnytte CVE-2016-0162 sårbarhet i enkelte versjoner av Internet Explorer, for å få mer informasjon om målet.

Ondsinnede nyttelaster hentet fra bilder kan brukes til forskjellige formål. I Explorer-sårbarhetssaken sjekket det utpakkede skriptet om det kjørte på en overvåket maskin - som den til en malware-analytiker. Hvis ikke, omdirigeres den til en utnyttelsessett destinasjonsside. Etter utnyttelse ble en siste nyttelast brukt til å levere skadevare som bakdører, banktrojanere, spionprogrammer, filtyvere og lignende.

Som du kan se, er forskjellen mellom et rent og et ondsinnet bilde ganske liten. For en vanlig person kan det ondsinnede bildet se litt annerledes ut, og i dette tilfellet kan det rare utseendet få dårlig bildekvalitet og oppløsning, men realiteten er at alle de mørke pikslene som er fremhevet i bildet til høyre er et tegn på ondartet kode.

Ingen grunn til panikk 

Du lurer kanskje på om bildene du ser på sosiale medier kan inneholde farlig kode. Tenk på at bilder lastet opp til sosiale medier-nettsteder vanligvis er sterkt komprimerte og modifiserte, så det ville være svært problematisk for en trusselaktør å skjule fullstendig bevart og fungerende kode i dem. Dette er kanskje åpenbart når du sammenligner hvordan et bilde ser ut før og etter at du har lastet det opp til Instagram - vanligvis er det klare kvalitetsforskjeller.

Det viktigste er at RGB-pikselskjuling og andre steganografiske metoder bare kan utgjøre en fare når de skjulte dataene leses av et program som kan trekke ut den ondsinnede koden og kjøre den på systemet. Bilder brukes ofte til å skjule skadelig programvare lastet ned fra kommando og kontroll (C&C) servere for å unngå oppdagelse av cybersikkerhetsprogramvare. I ett tilfelle ringte en trojaner NullT, gjennom infiserte Word-dokumenter vedlagt e-poster, ble lastet ned til ofrenes maskiner. Det er imidlertid ikke den mest interessante delen. Det som er interessant er at den også lastet ned en variant av PlugX RAT (aka Korplug) - ved å bruke steganografi for å trekke ut skadelig programvare fra en bilde av Britney Spears.

Med andre ord, hvis du er beskyttet mot trojanere som ZeroT, trenger du ikke bry deg så mye om bruken av steganografi.

Til slutt avhenger enhver utnyttelseskode som trekkes ut fra bilder av sårbarheter for vellykket utnyttelse. Hvis systemene dine allerede er lappet, er det ingen sjanse for at utnyttelsen fungerer; derfor er det en god idé å alltid holde cyberbeskyttelsen, appene og operativsystemene oppdatert. Utnyttelse av utnyttelsessett kan unngås ved å kjøre fullstendig oppdatering av programvare og bruke en pålitelig, oppdatert sikkerhetsløsning.

Det samme cybersikkerhetsregler bruk som alltid – og bevissthet er det første skrittet mot et mer cybersikkert liv.