Phần mềm độc hại ẩn trong ảnh? Có nhiều khả năng hơn bạn nghĩ

Phần mềm độc hại, Bảo mật kỹ thuật số

Một số hình ảnh có nhiều thứ hơn những gì bạn thấy – vẻ ngoài có vẻ ngây thơ của chúng có thể che giấu một mối đe dọa nham hiểm.

Mark Szabó

02 2024 tháng tư
 • 
,
4 phút đọc

Phần mềm an ninh mạng đã phát triển khá có khả năng phát hiện các tệp đáng ngờ và khi các doanh nghiệp ngày càng nhận thức được nhu cầu nâng cao trạng thái bảo mật của mình với các lớp bảo vệ bổ sung, việc trốn tránh sự phát hiện đã trở nên cần thiết.

Về bản chất, bất kỳ phần mềm an ninh mạng nào cũng đủ mạnh để phát hiện hầu hết các tệp độc hại. Do đó, các tác nhân đe dọa liên tục tìm kiếm các cách khác nhau để tránh bị phát hiện và trong số các kỹ thuật đó là sử dụng phần mềm độc hại ẩn trong hình ảnh hoặc ảnh chụp.

Phần mềm độc hại ẩn trong hình ảnh

Nghe có vẻ xa vời nhưng nó lại khá thực tế. Phần mềm độc hại được đặt bên trong các hình ảnh có định dạng khác nhau là kết quả của ảnh chụp màn hình, kỹ thuật ẩn dữ liệu trong một tập tin để tránh bị phát hiện. Nghiên cứu của ESET đã phát hiện ra kỹ thuật này đang được sử dụng bởi Nhóm gián điệp mạng Worok, kẻ đã ẩn mã độc trong các tệp hình ảnh, chỉ lấy thông tin pixel cụ thể từ chúng để trích xuất một tải trọng để thực thi. Tuy nhiên, hãy nhớ rằng điều này đã được thực hiện trên các hệ thống đã bị xâm nhập, vì như đã đề cập trước đó, việc ẩn phần mềm độc hại bên trong hình ảnh nhằm mục đích tránh bị phát hiện hơn là truy cập ban đầu.

Thông thường, các hình ảnh độc hại được cung cấp trên các trang web hoặc được đặt bên trong các tài liệu. Một số có thể nhớ phần mềm quảng cáo: mã ẩn trong biểu ngữ quảng cáo. Riêng mã trong hình ảnh không thể tự chạy, thực thi hoặc trích xuất khi được nhúng. Một phần mềm độc hại khác phải được phân phối để đảm nhiệm việc trích xuất mã độc và chạy nó. Ở đây, mức độ tương tác của người dùng được yêu cầu là khác nhau và khả năng ai đó nhận thấy hoạt động độc hại dường như phụ thuộc nhiều hơn vào mã liên quan đến quá trình trích xuất hơn là vào chính hình ảnh.

(Các) bit có ý nghĩa ít nhất (nhiều nhất)

Một trong những cách khéo léo hơn để nhúng mã độc vào hình ảnh là thay thế bit ít quan trọng nhất của mỗi giá trị đỏ-lục-xanh-alpha (RGBA) của mỗi pixel bằng một đoạn thông báo nhỏ. Một kỹ thuật khác là nhúng thứ gì đó vào kênh alpha của hình ảnh (biểu thị độ mờ của màu), chỉ sử dụng một phần không đáng kể. Bằng cách này, hình ảnh trông ít nhiều giống với hình ảnh thông thường, khiến mọi sự khác biệt khó phát hiện bằng mắt thường.

Một ví dụ về điều này là khi các mạng quảng cáo hợp pháp phân phát quảng cáo có khả năng dẫn đến biểu ngữ độc hại được gửi từ máy chủ bị xâm nhập. Mã JavaScript được trích xuất từ ​​biểu ngữ, khai thác Lỗ hổng CVE-2016-0162 trong một số phiên bản của Internet Explorer, để có thêm thông tin về mục tiêu.

Các tải trọng độc hại được trích xuất từ ​​​​hình ảnh có thể được sử dụng cho nhiều mục đích khác nhau. Trong trường hợp lỗ hổng Explorer, tập lệnh được trích xuất sẽ kiểm tra xem nó có đang chạy trên máy được giám sát hay không - giống như máy phân tích phần mềm độc hại. Nếu không thì nó sẽ chuyển hướng đến một bộ khai thác trang đích. Sau khi khai thác, tải trọng cuối cùng được sử dụng để phát tán phần mềm độc hại như cửa sau, trojan ngân hàng, phần mềm gián điệp, kẻ đánh cắp tệp, v.v.

Như bạn có thể thấy, sự khác biệt giữa hình ảnh sạch và hình ảnh độc hại là khá nhỏ. Đối với một người bình thường, hình ảnh độc hại có thể trông hơi khác một chút và trong trường hợp này, giao diện kỳ ​​lạ có thể là do chất lượng và độ phân giải hình ảnh kém, nhưng thực tế là tất cả những điểm ảnh tối được đánh dấu trong hình bên phải đều là một dấu hiệu của mã ác tính.

Không có lý do gì để hoảng sợ 

Khi đó, bạn có thể tự hỏi liệu những hình ảnh bạn nhìn thấy trên mạng xã hội có thể chứa mã nguy hiểm hay không. Hãy xem xét rằng hình ảnh được tải lên các trang web truyền thông xã hội thường được nén và sửa đổi rất nhiều, do đó, sẽ rất khó khăn nếu kẻ tấn công giấu mã hoạt động và được bảo toàn đầy đủ trong đó. Điều này có lẽ rõ ràng khi bạn so sánh cách một bức ảnh xuất hiện trước và sau khi bạn tải nó lên Instagram - thông thường, có sự khác biệt rõ ràng về chất lượng.

Quan trọng nhất, phương pháp ẩn pixel RGB và các phương pháp ẩn mã khác chỉ có thể gây nguy hiểm khi dữ liệu ẩn được đọc bởi một chương trình có thể trích xuất mã độc và thực thi nó trên hệ thống. Hình ảnh thường được sử dụng để che giấu phần mềm độc hại được tải xuống từ chỉ huy và kiểm soát (C&C) máy chủ để tránh bị phần mềm an ninh mạng phát hiện. Trong một trường hợp, một trojan có tên ZeroT, thông qua các tài liệu Word bị nhiễm đính kèm trong email, đã được tải xuống máy của nạn nhân. Tuy nhiên, đó không phải là phần thú vị nhất. Điều thú vị là nó cũng tải xuống một biến thể của PlugX RAT (còn gọi là Korplug) - sử dụng kỹ thuật steganography để trích xuất phần mềm độc hại từ một hình ảnh của Britney Spears.

Nói cách khác, nếu bạn được bảo vệ khỏi trojan như ZeroT, thì bạn không cần quan tâm nhiều đến việc sử dụng tính năng ẩn mã của nó.

Cuối cùng, bất kỳ mã khai thác nào được trích xuất từ ​​hình ảnh đều phụ thuộc vào lỗ hổng hiện có để khai thác thành công. Nếu hệ thống của bạn đã được vá lỗi thì sẽ không có cơ hội để việc khai thác hoạt động; do đó, bạn nên luôn cập nhật các biện pháp bảo vệ mạng, ứng dụng và hệ điều hành của mình. Có thể tránh được việc khai thác bằng các bộ công cụ khai thác bằng cách chạy phần mềm được vá đầy đủ và sử dụng một bản cập nhật đáng tin cậy. giải pháp bảo mật.

Như nhau quy tắc an ninh mạng hãy áp dụng như mọi khi — và nhận thức là bước đầu tiên hướng tới một cuộc sống an toàn hơn trên mạng.