Вредоносное ПО скрывается на фотографиях? Более вероятно, чем вы думаете

Вредоносное ПО, цифровая безопасность

В некоторых изображениях есть нечто большее, чем кажется на первый взгляд: за их, казалось бы, невинным фасадом может скрываться зловещая угроза.

Марк Сабо

02 апреля 2024 года.
 • 
,
4 минута. читать

Программное обеспечение кибербезопасности стало вполне способным обнаруживать подозрительные файлы, и поскольку предприятия все больше осознают необходимость повышения уровня безопасности за счет дополнительных уровней защиты, возникла необходимость в уловках, позволяющих избежать обнаружения.

По сути, любое программное обеспечение кибербезопасности достаточно мощное, чтобы обнаружить большинство вредоносных файлов. Следовательно, злоумышленники постоянно ищут разные способы избежать обнаружения, и среди этих методов есть использование вредоносного ПО, скрытого в изображениях или фотографиях.

Вредоносное ПО скрывается в изображениях

Возможно, это звучит надуманно, но это вполне реально. Вредоносное ПО, размещенное внутри образов различных форматов, является результатом стеганография, метод сокрытия данных в файле во избежание обнаружения. Исследование ESET обнаружило, что этот метод используется Группа кибершпионажа Ворок, который скрывал вредоносный код в файлах изображений, беря из них только определенную информацию о пикселях для извлечения полезной нагрузки для выполнения. Имейте в виду, что это было сделано на уже скомпрометированных системах, поскольку, как упоминалось ранее, сокрытие вредоносного ПО внутри образов больше связано с уклонением от обнаружения, чем с первоначальным доступом.

Чаще всего вредоносные изображения размещаются на веб-сайтах или внутри документов. Некоторые, возможно, помнят рекламное ПО: код спрятан в рекламных баннерах. Сам по себе код в образе не может быть запущен, выполнен или извлечен сам по себе во время внедрения. Необходимо доставить еще одну вредоносную программу, которая позаботится об извлечении вредоносного кода и его запуске. Здесь уровень требуемого взаимодействия с пользователем различен, и вероятность того, что кто-то заметит вредоносную активность, кажется, больше зависит от кода, который участвует в извлечении, чем от самого изображения.

Младший (наиболее) значимый бит(ы)

Один из наиболее коварных способов внедрения вредоносного кода в изображение — это замена младшего бита каждого значения красного-зеленого-синего-альфа (RGBA) каждого пикселя одним небольшим фрагментом сообщения. Другой метод — встроить что-то в альфа-канал изображения (обозначающий непрозрачность цвета), используя лишь разумно незначительную часть. Таким образом, изображение выглядит более или менее таким же, как обычное, поэтому разницу трудно обнаружить невооруженным глазом.

Примером этого был случай, когда законные рекламные сети размещали рекламу, которая потенциально могла привести к отправке вредоносного баннера со взломанного сервера. Код JavaScript был извлечен из баннера с использованием CVE-2016-0162 уязвимость в некоторых версиях Internet Explorer — для получения дополнительной информации о цели.

Вредоносные данные, извлеченные из изображений, могут быть использованы в различных целях. В случае с уязвимостью Explorer извлеченный скрипт проверял, запущен ли он на наблюдаемой машине — например, у аналитика вредоносного ПО. Если нет, то он перенаправляется на эксплуатационный комплект целевая страница. После эксплуатации последняя полезная нагрузка использовалась для доставки вредоносных программ, таких как бэкдоры, банковские трояны, шпионское ПО, похитители файлов и тому подобное.

Как видите, разница между чистым и вредоносным образом невелика. Для обычного человека вредоносное изображение может выглядеть немного иначе, и в этом случае странный вид можно списать на плохое качество и разрешение изображения, но реальность такова, что все эти темные пиксели, выделенные на изображении справа, являются признак злокачественного кода.

Нет причин для паники 

Тогда вам может быть интересно, могут ли изображения, которые вы видите в социальных сетях, содержать опасный код. Учтите, что изображения, загружаемые на сайты социальных сетей, обычно сильно сжаты и модифицированы, поэтому злоумышленнику будет весьма проблематично скрыть в них полностью сохранившийся и работающий код. Возможно, это становится очевидным, если сравнить, как выглядит фотография до и после загрузки ее в Instagram — обычно есть явные различия в качестве.

Самое главное, что скрытие пикселей RGB и другие стеганографические методы могут представлять опасность только в том случае, если скрытые данные читаются программой, которая может извлечь вредоносный код и выполнить его в системе. Изображения часто используются для сокрытия вредоносного ПО, загруженного с командование и контроль (C&C) серверы, чтобы избежать обнаружения программным обеспечением кибербезопасности. В одном случае троян под названием НольТ, через зараженные документы Word, прикрепленные к электронным письмам, загружался на компьютеры жертв. Однако это не самое интересное. Интересно то, что он также загрузил вариант PlugX RAT (он же Korplug), использующий стеганографию для извлечения вредоносного ПО из образ Бритни Спирс.

Другими словами, если вы защищены от таких троянов, как ZeroT, вам не нужно так сильно беспокоиться об использовании им стеганографии.

Наконец, успешная эксплуатация любого кода эксплойта, извлеченного из изображений, зависит от наличия уязвимостей. Если ваши системы уже исправлены, у эксплойта нет шансов сработать; следовательно, рекомендуется всегда обновлять свою киберзащиту, приложения и операционные системы. Эксплойтов с помощью наборов эксплойтов можно избежать, запустив полностью исправленное программное обеспечение и используя надежный, обновленный решение безопасности.

Такой же правила кибербезопасности Применяйте, как всегда, — и осведомленность является первым шагом на пути к более кибербезопасной жизни.