Skadlig programvara gömmer sig i bilder? Mer troligt än du tror

Skadlig programvara, digital säkerhet

Det finns mer i vissa bilder än vad man kan se – deras till synes oskyldiga fasad kan maskera ett olycksbådande hot.

Márk Szabó

April 02 2024
 • 
,
4 min. läsa

Cybersäkerhetsmjukvaran har blivit mycket kapabel att upptäcka misstänkta filer, och i takt med att företag blir allt mer medvetna om behovet av att förbättra sin säkerhetsställning med ytterligare skyddslager, har det blivit nödvändigt att undvika upptäckt.

I huvudsak är alla cybersäkerhetsprogram tillräckligt starka för att upptäcka de flesta skadliga filer. Därför söker hotaktörer ständigt olika sätt att undvika upptäckt, och bland dessa tekniker är att använda skadlig programvara gömd i bilder eller foton.

Skadlig programvara gömmer sig i bilder

Det låter kanske långsökt, men det är ganska verkligt. Skadlig programvara placerad inuti bilder av olika format är ett resultat av steganografi, tekniken att dölja data i en fil för att undvika upptäckt. ESET Research upptäckte att denna teknik används av Worok cyberspionagegrupp, som gömde skadlig kod i bildfiler, och tog bara specifik pixelinformation från dem för att extrahera en nyttolast att köra. Tänk dock på att detta gjordes på redan komprometterade system, eftersom som tidigare nämnts handlar det om att gömma skadlig programvara i bilder mer om att undvika upptäckt än om initial åtkomst.

Oftast görs skadliga bilder tillgängliga på webbplatser eller placeras i dokument. Vissa kanske kommer ihåg adware: kod gömd i annonsbanner. Ensam kan koden i bilden inte köras, exekveras eller extraheras av sig själv medan den är inbäddad. Ytterligare en skadlig kod måste levereras som tar hand om att extrahera den skadliga koden och köra den. Här är nivån av användarinteraktion som krävs olika och hur sannolikt det är att någon upptäcker skadlig aktivitet verkar vara mer beroende av koden som är involverad i extraheringen än på själva bilden.

Den minsta (mest) signifikanta biten/bitarna

Ett av de mer listiga sätten att bädda in skadlig kod i en bild är att ersätta den minst signifikanta biten av varje röd-grön-blå-alfa-värde (RGBA) för varje pixel med en liten del av meddelandet. En annan teknik är att bädda in något i en bilds alfakanal (som anger en färgs opacitet), med endast en rimligt obetydlig del. På så sätt ser bilden mer eller mindre ut som en vanlig bild, vilket gör någon skillnad svår att upptäcka med blotta ögat.

Ett exempel på detta var när legitima annonsnätverk visade upp annonser som potentiellt ledde till att en skadlig banner skickades från en intrång i servern. JavaScript-kod extraherades från bannern och utnyttjade CVE-2016-0162 sårbarhet i vissa versioner av Internet Explorer för att få mer information om målet.

Skadliga nyttolaster som extraherats från bilder kan användas för olika ändamål. I Explorer-sårbarhetsfallet kontrollerade det extraherade skriptet om det kördes på en övervakad maskin - som den hos en malwareanalytiker. Om inte, omdirigeras den till en utnyttja kit landningssida. Efter exploatering användes en sista nyttolast för att leverera skadlig programvara som bakdörrar, banktrojaner, spionprogram, filstjälare och liknande.

Som du kan se är skillnaden mellan en ren och en skadlig bild ganska liten. För en vanlig person kan den skadliga bilden bara se lite annorlunda ut, och i det här fallet kan det konstiga utseendet kritas upp till dålig bildkvalitet och upplösning, men verkligheten är att alla de mörka pixlarna som är markerade i bilden till höger är ett tecken på malign kod.

Ingen anledning till panik 

Du kanske undrar om bilderna du ser på sociala medier kan innehålla farlig kod. Tänk på att bilder som laddas upp till webbplatser för sociala medier vanligtvis är kraftigt komprimerade och modifierade, så det skulle vara mycket problematiskt för en hotaktör att gömma helt bevarad och fungerande kod i dem. Detta är kanske uppenbart när du jämför hur ett foto ser ut före och efter att du har laddat upp det till Instagram — vanligtvis finns det tydliga kvalitetsskillnader.

Viktigast av allt, RGB-pixel-döljning och andra steganografiska metoder kan bara utgöra en fara när den dolda data läses av ett program som kan extrahera den skadliga koden och exekvera den på systemet. Bilder används ofta för att dölja skadlig programvara som laddas ner från kommando och kontroll (C&C) servrar för att undvika upptäckt av cybersäkerhetsprogram. I ett fall ringde en trojan NollT, genom angripna Word-dokument bifogade till e-postmeddelanden, laddades ner till offrens maskiner. Det är dock inte den mest intressanta delen. Vad som är intressant är att det också laddade ner en variant av PlugX RAT (aka Korplug) — med hjälp av steganografi för att extrahera skadlig kod från en bild på Britney Spears.

Med andra ord, om du är skyddad från trojaner som ZeroT, behöver du inte bry dig lika mycket om användningen av steganografi.

Slutligen beror all exploateringskod som extraheras från bilder på att sårbarheter finns för framgångsrik exploatering. Om dina system redan är korrigerade finns det ingen chans för utnyttjandet att fungera; därför är det en bra idé att alltid hålla ditt cyberskydd, appar och operativsystem uppdaterade. Utnyttjande av exploateringssatser kan undvikas genom att köra helt korrigerad programvara och använda en pålitlig, uppdaterad säkerhetslösning.

Det samma cybersäkerhetsregler tillämpa som alltid – och medvetenhet är det första steget mot ett mer cybersäkert liv.