Malware, securitate digitală
În unele imagini există mai mult decât se vede - fațada lor aparent inocentă poate masca o amenințare sinistră.
02 aprilie 2024
•
,
4 min. citit
Software-ul de securitate cibernetică a devenit destul de capabil să detecteze fișiere suspecte, iar companiile devenind din ce în ce mai conștiente de necesitatea de a-și îmbunătăți postura de securitate cu straturi suplimentare de protecție, a devenit necesară subterfugiul pentru a evita detectarea.
În esență, orice software de securitate cibernetică este suficient de puternic pentru a detecta majoritatea fișierelor rău intenționate. Prin urmare, actorii amenințărilor caută în mod continuu diferite modalități de a evita detectarea, iar printre aceste tehnici se numără utilizarea malware-ului ascuns în imagini sau fotografii.
Malware care se ascunde în imagini
Poate suna exagerat, dar este destul de real. Programul malware plasat în imagini de diferite formate este rezultatul steganografia, tehnica de a ascunde datele într-un fișier pentru a evita detectarea. ESET Research a descoperit că această tehnică este folosită de Grupul de spionaj cibernetic Worok, care a ascuns cod rău intenționat în fișierele imagine, luând doar informații specifice de pixeli de la ele pentru a extrage o sarcină utilă de executat. Nu uitați că acest lucru a fost făcut pe sisteme deja compromise, deoarece, așa cum am menționat anterior, ascunderea malware-ului în imagini înseamnă mai mult evitarea detectării decât accesul inițial.
Cel mai adesea, imaginile rău intenționate sunt puse la dispoziție pe site-uri web sau plasate în documente. Unii ar putea aminti adware: cod ascuns în bannere publicitare. Singur, codul din imagine nu poate fi rulat, executat sau extras singur în timp ce este încorporat. Trebuie livrat un alt program malware care se ocupă de extragerea codului rău intenționat și de rularea acestuia. Aici nivelul necesar de interacțiune cu utilizatorul este diferit și cât de probabil este cineva să observe o activitate rău intenționată pare mai dependent de codul implicat în extragere decât de imaginea în sine.
Cel mai puțin (cel mai) biți semnificativ(i)
Una dintre modalitățile cele mai ocolite de a încorpora cod rău intenționat într-o imagine este înlocuirea bitului cel mai puțin semnificativ din fiecare valoare roșu-verde-albastru-alfa (RGBA) a fiecărui pixel cu o mică parte din mesaj. O altă tehnică este de a încorpora ceva în canalul alfa al unei imagini (care indică opacitatea unei culori), folosind doar o porțiune rezonabil nesemnificativă. În acest fel, imaginea apare mai mult sau mai puțin la fel ca una obișnuită, făcând orice diferență greu de detectat cu ochiul liber.
Un exemplu în acest sens a fost atunci când rețelele de publicitate legitime au difuzat reclame care ar putea duce la trimiterea unui banner rău intenționat de pe un server compromis. Codul JavaScript a fost extras din banner, exploatând CVE-2016-0162 vulnerabilitate în unele versiuni de Internet Explorer, pentru a obține mai multe informații despre țintă.
Încărcăturile utile rău intenționate extrase din imagini ar putea fi utilizate în diverse scopuri. În cazul vulnerabilității Explorer, scriptul extras a verificat dacă rulează pe o mașină monitorizată - ca cea a unui analist de malware. Dacă nu, atunci a fost redirecționat către un kit de exploatare pagina de destinație. După exploatare, o sarcină utilă finală a fost folosită pentru a furniza programe malware, cum ar fi ușile din spate, troienii bancare, programele spion, furatorii de fișiere și altele asemenea.
După cum puteți vedea, diferența dintre o imagine curată și o imagine rău intenționată este destul de mică. Pentru o persoană obișnuită, imaginea rău intenționată ar putea arăta ușor diferită, iar în acest caz, aspectul ciudat ar putea fi atribuit la o calitate și rezoluție slabă a imaginii, dar realitatea este că toți acei pixeli întunecați evidențiați în imaginea din dreapta sunt semn de cod malign.
Niciun motiv de panică
S-ar putea să vă întrebați, așadar, dacă imaginile pe care le vedeți pe rețelele de socializare ar putea adăposti cod periculos. Luați în considerare că imaginile încărcate pe site-urile de social media sunt de obicei puternic comprimate și modificate, așa că ar fi foarte problematic pentru un actor de amenințare să ascundă codul păstrat și funcțional în ele. Acest lucru este poate evident când compari modul în care apare o fotografie înainte și după ce ai încărcat-o pe Instagram - de obicei, există diferențe clare de calitate.
Cel mai important, ascunderea pixelilor RGB și alte metode steganografice pot reprezenta un pericol doar atunci când datele ascunse sunt citite de un program care poate extrage codul rău intenționat și îl poate executa pe sistem. Imaginile sunt adesea folosite pentru a ascunde programele malware descărcate comandă și control (C&C) servere pentru a evita detectarea de către software-ul de securitate cibernetică. Într-un caz, un troian a sunat ZeroT, prin documente Word infestate atașate la e-mailuri, a fost descărcat pe computerele victimelor. Cu toate acestea, aceasta nu este partea cea mai interesantă. Ceea ce este interesant este că a descărcat și o variantă a PlugX RAT (aka Korplug) - folosind steganografia pentru a extrage malware dintr-un imaginea lui Britney Spears.
Cu alte cuvinte, dacă sunteți protejat de troieni precum ZeroT, atunci nu trebuie să vă pese atât de mult de utilizarea steganografiei.
În cele din urmă, orice cod de exploatare care este extras din imagini depinde de vulnerabilitățile prezente pentru exploatarea cu succes. Dacă sistemele dumneavoastră sunt deja patch-uri, nu există nicio șansă ca exploit să funcționeze; prin urmare, este o idee bună să vă mențineți întotdeauna la zi protecția cibernetică, aplicațiile și sistemele de operare. Exploatarea prin kituri de exploatare poate fi evitată prin rularea unui software complet corelat și folosind un software fiabil și actualizat soluție de securitate.
La fel reguli de securitate cibernetică aplicați ca întotdeauna – iar conștientizarea este primul pas către o viață mai sigură cibernetică.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.welivesecurity.com/en/malware/malware-hiding-in-pictures-more-likely-than-you-think/
- :are
- :este
- :nu
- $UP
- a
- Despre Noi
- acces
- activitate
- actori
- Ad
- Suplimentar
- Anunţuri
- Promovare
- După
- Propriul rol
- TOATE
- singur
- Alfa
- deja
- de asemenea
- mereu
- printre
- an
- analist
- și
- O alta
- Orice
- apare
- Aplică
- Apps
- aprilie
- SUNT
- AS
- At
- disponibil
- evita
- evitat
- conştient
- gradului de conştientizare
- Backdoors
- Bancar
- steag
- BE
- deveni
- devenire
- înainte
- fiind
- între
- Pic
- Albastru
- atât
- întreprinderi
- dar
- by
- denumit
- CAN
- nu poti
- capabil
- pasă
- caz
- Categorii
- șansă
- Canal
- verificat
- curat
- clar
- cod
- culoare
- comparaţie
- compromis
- ascunde
- Lua în considerare
- conţinut
- continuu
- Control
- ar putea
- Cyber
- Securitate cibernetică
- PERICOL
- Periculos
- Întuneric
- de date
- Data
- livra
- livrate
- Dependent/ă
- depinde de
- detecta
- Detectare
- diferenţă
- diferenţele
- diferit
- digital
- do
- docs
- documente
- făcut
- descărcat
- fiecare
- e-mailuri
- încastra
- încorporat
- sporită
- suficient de
- Cercetare ESET
- esenţă
- sustrage
- Fiecare
- exemplu
- a executa
- executat
- Exploata
- exploatare
- exploatând
- explorator
- extrage
- ochi
- faţadă
- Fișier
- Fişiere
- final
- First
- Pentru
- din
- complet
- obține
- bine
- crescut
- port
- Greu
- puternic
- prin urmare
- aici
- Ascuns
- Ascunde
- ascunde
- Evidențiați
- Evidențiat
- Cum
- Totuși
- HTTPS
- idee
- if
- imagine
- imagini
- important
- in
- include
- tot mai mult
- informații
- inițială
- nevinovat
- în interiorul
- nesemnificativ
- interacţiune
- interesant
- Internet
- în
- implicat
- IT
- ESTE
- în sine
- JavaScript
- jpeg
- jpg
- doar
- A pastra
- aterizare
- Nume
- straturi
- cel mai puțin
- Led
- stânga
- legitim
- mai puțin
- Nivel
- Viaţă
- ca
- Probabil
- Uite
- maşină
- Masini
- făcut
- Efectuarea
- rău
- malware
- masca
- max-width
- poate
- Mass-media
- se intalneste
- menționat
- mesaj
- Metode
- ar putea
- minute
- minte
- modificată
- monitorizate
- mai mult
- cele mai multe
- mult
- trebuie sa
- necesar
- Nevoie
- rețele
- nist
- Nu.
- Înștiințare..
- evident
- of
- de pe
- de multe ori
- on
- ONE
- afară
- pe
- de operare
- sisteme de operare
- or
- Altele
- pagină
- parte
- poate
- persoană
- Fotografii
- imagine
- poze
- bucată
- Pixel
- Plato
- Informații despre date Platon
- PlatoData
- sărac
- porţiune
- pune
- potenţial
- prezenta
- în prealabil
- problematic
- Program
- protejat
- protecţie
- scopuri
- calitate
- cu totul
- ŞOBOLAN
- mai degraba
- Citeste
- real
- Realitate
- motiv
- regulat
- de încredere
- minte
- înlocui
- necesar
- cercetare
- Rezoluţie
- rezultat
- RGB
- dreapta
- Alerga
- funcţionare
- s
- acelaşi
- scenariu
- sigur
- securitate
- vedea
- Căuta
- părea
- aparent
- pare
- trimis
- servit
- serverul
- Servere
- semna
- semnificativ
- asemănător
- întrucât
- ușor diferite
- mic
- So
- Social
- social media
- Software
- unele
- Cineva
- ceva
- Suna
- Sursă
- specific
- pete
- spyware
- Pas
- puternic
- de succes
- astfel de
- suspicios
- sistem
- sisteme
- ia
- luare
- Ţintă
- tehnică
- tehnici de
- decât
- acea
- lor
- Lor
- apoi
- Acolo.
- crede
- acest
- aceste
- deşi?
- amenințare
- actori amenințători
- trei
- Prin
- la
- spre
- troian
- Două
- tipic
- actualizat
- încărcat
- utilizare
- utilizat
- Utilizator
- folosind
- obișnuit
- valoare
- Variantă
- diverse
- Versiunile
- foarte
- Vulnerabilitățile
- vulnerabilitate
- a fost
- Cale..
- modalități de
- site-uri web
- cand
- dacă
- în timp ce
- OMS
- lățime
- cu
- în
- întrebam
- Cuvânt
- cuvinte
- Apartamente
- de lucru
- ar
- Tu
- Ta
- zephyrnet