Złośliwe oprogramowanie ukrywające się na zdjęciach? Bardziej prawdopodobne niż myślisz

Złośliwe oprogramowanie, bezpieczeństwo cyfrowe

W niektórych obrazach kryje się więcej, niż mogłoby się wydawać – ich pozornie niewinna fasada może maskować złowrogie zagrożenie.

Marka Szabó

Kwiecień 02 2024
 • 
,
4 minuta. czytać

Oprogramowanie do cyberbezpieczeństwa stało się całkiem zdolne do wykrywania podejrzanych plików, a w miarę jak firmy stają się coraz bardziej świadome konieczności podnoszenia swojego poziomu bezpieczeństwa za pomocą dodatkowych warstw ochrony, konieczne stało się stosowanie podstępów w celu uniknięcia wykrycia.

Zasadniczo każde oprogramowanie zapewniające cyberbezpieczeństwo jest wystarczająco silne, aby wykryć większość złośliwych plików. Dlatego też cyberprzestępcy nieustannie szukają różnych sposobów uniknięcia wykrycia, a jedną z tych technik jest wykorzystanie złośliwego oprogramowania ukrytego w obrazach lub zdjęciach.

Złośliwe oprogramowanie ukrywające się w obrazach

Może to brzmieć naciąganie, ale jest całkiem realne. Następstwem tego jest złośliwe oprogramowanie umieszczone w obrazach w różnych formatach steganografia, technika ukrywania danych w pliku w celu uniknięcia wykrycia. Badania firmy ESET wykazały, że ta technika jest stosowana przez Grupa cyberszpiegowska Workok, który ukrył złośliwy kod w plikach obrazów i pobrał z nich jedynie określone informacje o pikselach, aby wyodrębnić ładunek do wykonania. Pamiętaj jednak, że zrobiono to na już zainfekowanych systemach, ponieważ, jak wspomniano wcześniej, ukrywanie złośliwego oprogramowania w obrazach polega bardziej na uniknięciu wykrycia niż na początkowym dostępie.

Najczęściej złośliwe obrazy są udostępniane na stronach internetowych lub umieszczane w dokumentach. Niektórzy mogą pamiętać oprogramowanie reklamowe: kod ukryty w banerach reklamowych. Sam kod z obrazu nie może zostać uruchomiony, wykonany ani wyodrębniony samodzielnie po osadzeniu. Należy dostarczyć kolejny szkodliwy program, który wyodrębni szkodliwy kod i uruchomi go. W tym przypadku wymagany poziom interakcji użytkownika jest różny, a prawdopodobieństwo, że ktoś zauważy złośliwą aktywność, wydaje się bardziej zależne od kodu używanego podczas wyodrębniania niż od samego obrazu.

Najmniej (najbardziej) znaczący bit(y)

Jednym z bardziej przebiegłych sposobów osadzenia złośliwego kodu w obrazie jest zastąpienie najmniej znaczącego fragmentu każdej wartości czerwono-zielono-niebieskiej alfa (RGBA) każdego piksela jednym małym fragmentem wiadomości. Inną techniką jest osadzenie czegoś w kanale alfa obrazu (oznaczającym nieprzezroczystość koloru), używając jedynie stosunkowo nieistotnej części. W ten sposób obraz wygląda mniej więcej tak samo jak zwykły, przez co różnicę trudno dostrzec gołym okiem.

Przykładem tego była sytuacja, gdy legalne sieci reklamowe wyświetlały reklamy, które potencjalnie prowadziły do ​​wysłania szkodliwego banera z zaatakowanego serwera. Z banera wyodrębniono kod JavaScript, wykorzystując plik Luka CVE-2016-0162 w niektórych wersjach przeglądarki Internet Explorer, aby uzyskać więcej informacji o celu.

Szkodliwe ładunki wyodrębnione ze zdjęć mogą zostać wykorzystane do różnych celów. W przypadku luki w Eksploratorze wyodrębniony skrypt sprawdzał, czy działa na monitorowanej maszynie — na przykład na komputerze analityka złośliwego oprogramowania. Jeśli nie, następuje przekierowanie do pliku zestaw exploitów wstęp. Po wykorzystaniu ostateczny ładunek został wykorzystany do dostarczenia złośliwego oprogramowania, takiego jak backdoory, trojany bankowe, oprogramowanie szpiegujące, złodzieje plików i podobne.

Jak widać różnica pomiędzy czystym i złośliwym obrazem jest raczej niewielka. Dla zwykłego człowieka złośliwy obraz może wyglądać nieco inaczej i w tym przypadku dziwny wygląd można przypisać złej jakości i rozdzielczości obrazu, ale rzeczywistość jest taka, że ​​wszystkie ciemne piksele zaznaczone na obrazku po prawej stronie to oznaka złośliwego kodu.

Nie ma powodu do paniki 

Być może zastanawiasz się zatem, czy obrazy, które widzisz w mediach społecznościowych, mogą zawierać niebezpieczny kod. Należy pamiętać, że obrazy przesyłane do serwisów społecznościowych są zwykle mocno skompresowane i modyfikowane, dlatego ukrycie w nich w pełni zachowanego i działającego kodu byłoby dla cyberprzestępcy bardzo problematyczne. Być może jest to oczywiste, gdy porównasz wygląd zdjęcia przed i po przesłaniu go na Instagram – zazwyczaj istnieją wyraźne różnice w jakości.

Co najważniejsze, ukrywanie pikseli RGB i inne metody steganograficzne mogą stanowić zagrożenie tylko wtedy, gdy ukryte dane zostaną odczytane przez program, który może wyodrębnić złośliwy kod i wykonać go w systemie. Obrazy są często używane do ukrywania pobranego złośliwego oprogramowania dowodzenie i kontrola (C&C) serwery, aby uniknąć wykrycia przez oprogramowanie zapewniające cyberbezpieczeństwo. W jednym przypadku wywołał trojan ZeroT, poprzez zainfekowane dokumenty Worda dołączone do wiadomości e-mail, był pobierany na komputery ofiar. Jednak nie to jest najciekawsze. Co ciekawe, pobrał także wariant PlugX RAT (znany również jako Korplug) — wykorzystując steganografię do wyodrębnienia złośliwego oprogramowania z wizerunek Britney Spears.

Innymi słowy, jeśli jesteś chroniony przed trojanami takimi jak ZeroT, nie musisz tak bardzo przejmować się wykorzystaniem przez niego steganografii.

Wreszcie, pomyślne wykorzystanie każdego kodu exploita wyodrębnionego z obrazów zależy od obecności luk w zabezpieczeniach. Jeśli Twoje systemy są już załatane, nie ma szans, aby exploit zadziałał; dlatego dobrze jest zawsze aktualizować zabezpieczenia cybernetyczne, aplikacje i systemy operacyjne. Można uniknąć wykorzystania zestawów exploitów, uruchamiając w pełni załatane oprogramowanie i korzystając z niezawodnego, zaktualizowanego oprogramowania rozwiązanie bezpieczeństwa.

To samo zasady cyberbezpieczeństwa stosuj się jak zawsze — a świadomość to pierwszy krok w kierunku bardziej cyberbezpiecznego życia.