Вредоносное ПО, цифровая безопасность
В некоторых изображениях есть нечто большее, чем кажется на первый взгляд: за их, казалось бы, невинным фасадом может скрываться зловещая угроза.
02 апреля 2024 года.
•
,
4 минута. читать
Программное обеспечение кибербезопасности стало вполне способным обнаруживать подозрительные файлы, и поскольку предприятия все больше осознают необходимость повышения уровня безопасности за счет дополнительных уровней защиты, возникла необходимость в уловках, позволяющих избежать обнаружения.
По сути, любое программное обеспечение кибербезопасности достаточно мощное, чтобы обнаружить большинство вредоносных файлов. Следовательно, злоумышленники постоянно ищут разные способы избежать обнаружения, и среди этих методов есть использование вредоносного ПО, скрытого в изображениях или фотографиях.
Вредоносное ПО скрывается в изображениях
Возможно, это звучит надуманно, но это вполне реально. Вредоносное ПО, размещенное внутри образов различных форматов, является результатом стеганография, метод сокрытия данных в файле во избежание обнаружения. Исследование ESET обнаружило, что этот метод используется Группа кибершпионажа Ворок, который скрывал вредоносный код в файлах изображений, беря из них только определенную информацию о пикселях для извлечения полезной нагрузки для выполнения. Имейте в виду, что это было сделано на уже скомпрометированных системах, поскольку, как упоминалось ранее, сокрытие вредоносного ПО внутри образов больше связано с уклонением от обнаружения, чем с первоначальным доступом.
Чаще всего вредоносные изображения размещаются на веб-сайтах или внутри документов. Некоторые, возможно, помнят рекламное ПО: код спрятан в рекламных баннерах. Сам по себе код в образе не может быть запущен, выполнен или извлечен сам по себе во время внедрения. Необходимо доставить еще одну вредоносную программу, которая позаботится об извлечении вредоносного кода и его запуске. Здесь уровень требуемого взаимодействия с пользователем различен, и вероятность того, что кто-то заметит вредоносную активность, кажется, больше зависит от кода, который участвует в извлечении, чем от самого изображения.
Младший (наиболее) значимый бит(ы)
Один из наиболее коварных способов внедрения вредоносного кода в изображение — это замена младшего бита каждого значения красного-зеленого-синего-альфа (RGBA) каждого пикселя одним небольшим фрагментом сообщения. Другой метод — встроить что-то в альфа-канал изображения (обозначающий непрозрачность цвета), используя лишь разумно незначительную часть. Таким образом, изображение выглядит более или менее таким же, как обычное, поэтому разницу трудно обнаружить невооруженным глазом.
Примером этого был случай, когда законные рекламные сети размещали рекламу, которая потенциально могла привести к отправке вредоносного баннера со взломанного сервера. Код JavaScript был извлечен из баннера с использованием CVE-2016-0162 уязвимость в некоторых версиях Internet Explorer — для получения дополнительной информации о цели.
Вредоносные данные, извлеченные из изображений, могут быть использованы в различных целях. В случае с уязвимостью Explorer извлеченный скрипт проверял, запущен ли он на наблюдаемой машине — например, у аналитика вредоносного ПО. Если нет, то он перенаправляется на эксплуатационный комплект целевая страница. После эксплуатации последняя полезная нагрузка использовалась для доставки вредоносных программ, таких как бэкдоры, банковские трояны, шпионское ПО, похитители файлов и тому подобное.
Как видите, разница между чистым и вредоносным образом невелика. Для обычного человека вредоносное изображение может выглядеть немного иначе, и в этом случае странный вид можно списать на плохое качество и разрешение изображения, но реальность такова, что все эти темные пиксели, выделенные на изображении справа, являются признак злокачественного кода.
Нет причин для паники
Тогда вам может быть интересно, могут ли изображения, которые вы видите в социальных сетях, содержать опасный код. Учтите, что изображения, загружаемые на сайты социальных сетей, обычно сильно сжаты и модифицированы, поэтому злоумышленнику будет весьма проблематично скрыть в них полностью сохранившийся и работающий код. Возможно, это становится очевидным, если сравнить, как выглядит фотография до и после загрузки ее в Instagram — обычно есть явные различия в качестве.
Самое главное, что скрытие пикселей RGB и другие стеганографические методы могут представлять опасность только в том случае, если скрытые данные читаются программой, которая может извлечь вредоносный код и выполнить его в системе. Изображения часто используются для сокрытия вредоносного ПО, загруженного с командование и контроль (C&C) серверы, чтобы избежать обнаружения программным обеспечением кибербезопасности. В одном случае троян под названием НольТ, через зараженные документы Word, прикрепленные к электронным письмам, загружался на компьютеры жертв. Однако это не самое интересное. Интересно то, что он также загрузил вариант PlugX RAT (он же Korplug), использующий стеганографию для извлечения вредоносного ПО из образ Бритни Спирс.
Другими словами, если вы защищены от таких троянов, как ZeroT, вам не нужно так сильно беспокоиться об использовании им стеганографии.
Наконец, успешная эксплуатация любого кода эксплойта, извлеченного из изображений, зависит от наличия уязвимостей. Если ваши системы уже исправлены, у эксплойта нет шансов сработать; следовательно, рекомендуется всегда обновлять свою киберзащиту, приложения и операционные системы. Эксплойтов с помощью наборов эксплойтов можно избежать, запустив полностью исправленное программное обеспечение и используя надежный, обновленный решение безопасности.
Такой же правила кибербезопасности Применяйте, как всегда, — и осведомленность является первым шагом на пути к более кибербезопасной жизни.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.welivesecurity.com/en/malware/malware-hiding-in-pictures-more-likely-than-you-think/
- :имеет
- :является
- :нет
- $UP
- a
- О нас
- доступ
- деятельность
- актеры
- Ad
- дополнительный
- объявления
- Реклама
- После
- ака
- Все
- в одиночестве
- Альфа
- уже
- причислены
- всегда
- среди
- an
- аналитик
- и
- Другой
- любой
- появляется
- Применить
- Программы
- апрель
- МЫ
- AS
- At
- доступен
- избежать
- избегать
- знать
- осведомленность
- Черные ходы
- Банковское дело
- баннер
- BE
- становиться
- становление
- до
- не являетесь
- между
- Немного
- Синии
- изоферменты печени
- бизнес
- но
- by
- под названием
- CAN
- не могу
- способный
- заботится
- случаев
- Категории
- шанс
- Канал
- проверил
- чистым
- Очистить
- код
- цвет
- сравнить
- Ослабленный
- скрывать
- Рассматривать
- содержание
- беспрестанно
- контроль
- может
- кибер-
- Информационная безопасность
- ОПАСНО!
- опасно
- темно
- данным
- Время
- доставить
- поставляется
- зависимый
- зависит
- обнаруживать
- обнаружение
- разница
- Различия
- различный
- Интернет
- do
- Документы
- Документация
- сделанный
- скачанный
- каждый
- Писем
- вставлять
- встроенный
- расширение
- достаточно
- Исследования ESET
- сущность
- Evade
- Каждая
- пример
- выполнять
- выполненный
- Эксплуатировать
- эксплуатация
- эксплуатации
- исследователь
- извлечение
- Глаза
- фасад
- Файл
- Файлы
- окончательный
- First
- Что касается
- от
- полностью
- получить
- хорошо
- взрослый
- гавань
- Жесткий
- сильно
- следовательно
- здесь
- Скрытый
- Спрятать
- прячется
- Выделите
- Выделенные
- Как
- Однако
- HTTPS
- идея
- if
- изображение
- изображений
- важно
- in
- включает в себя
- все больше и больше
- информация
- начальный
- невинный
- внутри
- незначительный
- взаимодействие
- интересный
- Интернет
- в
- вовлеченный
- IT
- ЕГО
- саму трезвость
- JavaScript
- JPEG
- JPG
- всего
- Сохранить
- посадка
- Фамилия
- слоев
- наименее
- привело
- оставил
- законный
- Меньше
- уровень
- ЖИЗНЬЮ
- такое как
- Вероятно
- посмотреть
- машина
- Продукция
- сделанный
- Создание
- злонамеренный
- вредоносных программ
- маска
- макс-ширина
- может быть
- Медиа
- Соответствует
- упомянутый
- сообщение
- методы
- может быть
- мин
- против
- модифицировало
- контролируемый
- БОЛЕЕ
- самых
- много
- должен
- необходимо
- Необходимость
- сетей
- NIST
- нет
- Уведомление..
- Очевидный
- of
- от
- .
- on
- ONE
- только
- на
- операционный
- операционные системы
- or
- Другое
- страница
- часть
- возможно
- человек
- Фото
- Фото
- картина
- Картинки
- кусок
- Pixel
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- состояния потока
- часть
- поза
- потенциально
- представить
- предварительно
- проблематичный
- FitPartner™
- защищенный
- защиту
- целей
- вполне
- RAT
- скорее
- Читать
- реальные
- Реальность
- причина
- регулярный
- складская
- помнить
- замещать
- обязательный
- исследованиям
- Постановления
- результат
- RGB
- правую
- Run
- Бег
- s
- то же
- скрипт
- безопасный
- безопасность
- посмотреть
- Искать
- казаться
- по-видимому
- кажется
- послать
- служил
- сервер
- Серверы
- подпись
- значительный
- аналогичный
- с
- немного отличается
- небольшой
- So
- Соцсети
- социальные сети
- Software
- некоторые
- Кто-то
- удалось
- Звук
- Источник
- конкретный
- пятна
- шпионских программ
- Шаг
- сильный
- успешный
- такие
- подозрительный
- система
- системы
- принимает
- с
- цель
- техника
- снижения вреда
- чем
- который
- Ассоциация
- их
- Их
- тогда
- Там.
- think
- этой
- те
- хоть?
- угроза
- актеры угрозы
- три
- Через
- в
- к
- троянец
- два
- типично
- обновление
- загружено
- использование
- используемый
- Информация о пользователе
- через
- обычно
- ценностное
- Вариант
- различный
- версии
- очень
- Уязвимости
- уязвимость
- законопроект
- Путь..
- способы
- веб-сайты
- когда
- будь то
- в то время как
- КТО
- ширина
- в
- интересно
- Word
- слова
- Работа
- работает
- бы
- Ты
- ВАШЕ
- зефирнет