Зловмисне програмне забезпечення ховається на зображеннях? Більш ймовірно, ніж ви думаєте

Зловмисне програмне забезпечення, цифрова безпека

У деяких зображеннях є більше, ніж здається на перший погляд – їхній, здавалося б, невинний фасад може маскувати зловісну загрозу.

Марк Сабо

02 квітня 2024
 • 
,
4 хв. читати

Програмне забезпечення для кібербезпеки стало досить здатним виявляти підозрілі файли, і оскільки компанії все більше усвідомлюють необхідність посилити свою безпеку за допомогою додаткових рівнів захисту, стали необхідними хитрощі, щоб уникнути виявлення.

По суті, будь-яке програмне забезпечення для кібербезпеки достатньо потужне, щоб виявити більшість шкідливих файлів. Таким чином, суб’єкти загрози постійно шукають різні способи уникнути виявлення, і серед цих методів є використання зловмисного програмного забезпечення, прихованого на зображеннях або фотографіях.

Зловмисне програмне забезпечення ховається в зображеннях

Це може здатися надуманим, але це цілком реально. Зловмисне програмне забезпечення, розміщене всередині зображень різних форматів, є результатом стеганографія, техніка приховування даних у файлі, щоб уникнути виявлення. Дослідження ESET виявили, що цю техніку використовують Група кібершпигунства Ворок, який ховав зловмисний код у файлах зображень, беручи з них лише певну піксельну інформацію, щоб отримати корисне навантаження для виконання. Майте на увазі, що це було зроблено на вже скомпрометованих системах, оскільки, як згадувалося раніше, приховування зловмисного програмного забезпечення всередині зображень — це більше уникнення виявлення, ніж початковий доступ.

Найчастіше шкідливі зображення доступні на веб-сайтах або в документах. Дехто може згадати рекламне ПЗ: код, прихований в рекламних банерах. Самостійно код в зображенні не може бути запущений, виконаний або витягнутий сам по собі, коли він вбудований. Має бути доставлено іншу частину шкідливого програмного забезпечення, яке піклується про вилучення шкідливого коду та його запуск. Тут необхідний рівень взаємодії з користувачем різний, і ймовірність того, що хтось помітить зловмисну ​​активність, більше залежить від коду, який бере участь у видобуванні, ніж від самого зображення.

Найменший (найбільш) значущий(і) біт(и)

Один із найбільш хитрих способів вбудувати шкідливий код у зображення — замінити найменший біт кожного значення червоно-зелено-синього альфа (RGBA) кожного пікселя одним невеликим фрагментом повідомлення. Інша техніка полягає в тому, щоб вставити щось в альфа-канал зображення (що позначає непрозорість кольору), використовуючи лише досить незначну частину. Таким чином, зображення виглядає більш-менш таким же, як звичайне, тому будь-яку різницю важко помітити неозброєним оком.

Прикладом цього був випадок, коли законні рекламні мережі розміщували рекламу, яка потенційно призводила до надсилання зловмисного банера зі зламаного сервера. Код JavaScript було витягнуто з банера з використанням Уразливість CVE-2016-0162 у деяких версіях Internet Explorer, щоб отримати більше інформації про ціль.

Зловмисне корисне навантаження, отримане із зображень, може використовуватися для різних цілей. У випадку уразливості Провідника витягнутий сценарій перевіряв, чи працює він на контрольованому комп’ютері — як у аналітика зловмисного програмного забезпечення. Якщо ні, то він перенаправляється на an набір експлойтів цільова сторінка. Після експлуатації остаточне корисне навантаження використовувалося для доставки шкідливих програм, таких як бекдори, банківські трояни, шпигунські програми, викрадачі файлів тощо.

Як бачите, різниця між чистим і шкідливим зображенням досить мала. Для звичайної людини зловмисне зображення може виглядати трохи інакше, і в цьому випадку дивний вигляд можна списати на низьку якість зображення та роздільну здатність, але насправді всі ці темні пікселі, виділені на зображенні праворуч, є ознака злоякісного коду.

Немає причин для паніки 

Тоді вам може бути цікаво, чи можуть зображення, які ви бачите в соціальних мережах, містити небезпечний код. Візьміть до уваги, що зображення, завантажені на веб-сайти соціальних мереж, зазвичай сильно стиснені та змінені, тому для загрозливих осіб буде дуже проблематично приховати в них повністю збережений і робочий код. Можливо, це очевидно, якщо порівняти, як виглядає фотографія до та після того, як ви завантажили її в Instagram — як правило, є чіткі відмінності в якості.

Найважливіше те, що приховування пікселів RGB та інші стеганографічні методи можуть становити небезпеку лише тоді, коли приховані дані зчитуються програмою, яка може витягнути шкідливий код і виконати його в системі. Зображення часто використовуються для приховування завантажених шкідливих програм командування та контроль (C&C) сервери, щоб уникнути виявлення програмним забезпеченням кібербезпеки. В одному випадку подзвонив троян ZeroT, через заражені документи Word, прикріплені до електронних листів, було завантажено на комп’ютери жертв. Однак це не найцікавіше. Що цікаво, це те, що він також завантажив варіант PlugX RAT (він же Korplug) — за допомогою стеганографії для вилучення шкідливих програм із зображення Брітні Спірс.

Іншими словами, якщо ви захищені від таких троянів, як ZeroT, вам не потрібно піклуватися про використання стеганографії.

Нарешті, будь-який код експлойту, витягнутий із зображень, залежить від наявності вразливостей для успішного використання. Якщо ваші системи вже виправлені, експлойт не спрацює; отже, радимо завжди оновлювати кіберзахист, програми й операційні системи. Експлуатації наборами експлойтів можна уникнути, запустивши повністю виправлене програмне забезпечення та використовуючи надійне, оновлене рішення безпеки.

Так само правила кібербезпеки застосовуйте як завжди — і обізнаність є першим кроком до більш кібербезпечного життя.