Bezpečnostní software je stále schopnější odhalovat podezřelé soubory. A vzhledem k tomu, že si firmy stále více uvědomují potřebu zvýšit svou bezpečnost pomocí dalších vrstev ochrany, musí podle bezpečnostních odborníků z ESETu tvůrci malwaru používat různé lsti, které mu umožní vyhnout se detekci.
V podstatě každý bezpečnostní software je dostatečně silný na to, aby odhalil většinu škodlivých souborů. Proto aktéři hrozeb neustále hledají nové způsoby, jak se vyhnout odhalení a mezi tyto techniky patří právě i používání malwaru skrytého v obrázcích nebo fotografiích.
Malware skrytý v obrázcích
Může to znít přitažené za vlasy, ale je to docela reálné. Malware umístěný v obrázcích různých formátů je výsledkem tzv. steganografie, techniky skrývání dat v souborech, aby se tak zabránilo jejich odhalení. Výzkumníci z ESET Research si všimli, že tuto techniku používá kyberšpionážní skupina Worok, která do obrazových souborů ukryla škodlivý kód a vzala si z nich pouze konkrétní informace o pixelech, aby z nich získala payload (datový obsah) potřebný pro spuštění.
Mohlo by vás zajímat
Mějte však na paměti, že k tomu došlo na již kompromitovaných systémech, protože ukrývání malwaru uvnitř obrázků je spíše o vyhýbání se detekci než o prvotním přístupu.
Nejčastěji jsou škodlivé obrázky umístěny na webových stránkách nebo uvnitř dokumentů. Někteří si možná vzpomenou na adware: kód skrytý v reklamních bannerech. Kód vložený do obrázku nelze samostatně spustit, ani extrahovat. Musí být k němu dodán další malware, který se postará o extrakci škodlivého kódu z obrázku a jeho spuštění. Zde je nutná různá míra interakce uživatele a zdá se, že to, jak pravděpodobné je, že si někdo všimne škodlivé aktivity, závisí spíše na kódu, který se podílí na extrakci, než na samotném obrázku.
Mohlo by vás zajímat
Záleží na každém bitu
Jedním ze záludných způsobů, jak do obrázku vložit škodlivý kód, je nahradit nejméně významný bit každé hodnoty RGBA (red-green-blue-alpha) každého pixelu malým kouskem zprávy. Další používanou technikou je vložit něco do alfa kanálu obrázku (označujícího neprůhlednost barvy), přičemž se použije pouze přiměřeně nevýznamná část. Tímto způsobem se obrázek jeví víceméně stejně jako běžný obrázek, takže jakýkoli rozdíl je pouhým okem těžko zjistitelný.
Příkladem může být situace, kdy legitimní reklamní platformy zobrazovaly reklamy, které potenciálně vedly k odeslání škodlivého banneru z kompromitovaného serveru. Z banneru byl extrahován JavaScript, který zneužíval zranitelnost CVE-2016-0162 v některých verzích prohlížeče Internet Explorer, aby získal další informace o cíli. Škodlivé soubory extrahované z obrázků mohou být použity k různým účelům.
Zdroj: ESET Research
Jak vidíte, rozdíl mezi čistým a škodlivým obrázkem je poměrně malý. Pro běžného člověka může škodlivý obrázek vypadat jen nepatrně jinak a v tomto případě by se podivný vzhled dal připsat na vrub špatné kvalitě a rozlišení obrázku, ale ve skutečnosti jsou všechny ty tmavé pixely zvýrazněné na obrázku vpravo známkou škodlivého kódu.
Zdroj: ESET Research
Není důvod k panice
Možná vás tedy zajímá, zda obrázky, které vidíte na sociálních sítích, mohou skrývat nebezpečný kód. Vezměte v úvahu, že obrázky nahrané na weby sociálních médií jsou obvykle silně komprimované a upravené, takže by pro aktéra hrozby bylo velmi problematické ukrýt v nich plně zachovaný a funkční kód. To je možná zřejmé, když porovnáte, jak vypadá fotografie před nahráním na Instagram a po něm - obvykle jsou rozdíly v kvalitě zřetelné.
Mohlo by vás zajímat
Nejdůležitější je, že skrývání pixelů RGB a další steganografické metody mohou představovat nebezpečí pouze tehdy, když jsou skrytá data přečtena programem, který může extrahovat škodlivý kód a spustit ho v systému.
Obrázky se často používají ke skrytí škodlivého softwaru staženého ze serverů C&C (Command and Control), aby se vyhnuly odhalení bezpečnostním softwarem. V jednom případě byl do počítačů obětí stažen trojský kůň ZeroT prostřednictvím infikovaných dokumentů Wordu přiložených k e-mailům. To však není to nejzajímavější. Zajímavé je, že se stáhla také varianta PlugX RAT (alias Korplug) - pomocí steganografie extrahovala malware z obrázku Britney Spears.
Zdroj: ESET
8 foto
video