Κακόβουλο λογισμικό, Ψηφιακή ασφάλεια
Σε ορισμένες εικόνες υπάρχουν περισσότερα από όσα φαίνονται στο μάτι – η φαινομενικά αθώα πρόσοψή τους μπορεί να κρύψει μια απαίσια απειλή.
02 2024 Απρίλιο
•
,
4 λεπτό. ανάγνωση
Το λογισμικό κυβερνοασφάλειας έχει αναπτυχθεί αρκετά ικανό να ανιχνεύει ύποπτα αρχεία και καθώς οι επιχειρήσεις συνειδητοποιούν ολοένα και περισσότερο την ανάγκη να βελτιώσουν τη στάση ασφαλείας τους με πρόσθετα επίπεδα προστασίας, η υπονόμευση για την αποφυγή του εντοπισμού έχει καταστεί απαραίτητη.
Ουσιαστικά, οποιοδήποτε λογισμικό κυβερνοασφάλειας είναι αρκετά ισχυρό ώστε να ανιχνεύει τα περισσότερα κακόβουλα αρχεία. Ως εκ τούτου, οι φορείς απειλών αναζητούν συνεχώς διαφορετικούς τρόπους για να αποφύγουν τον εντοπισμό, και μεταξύ αυτών των τεχνικών είναι η χρήση κακόβουλου λογισμικού που κρύβεται σε εικόνες ή φωτογραφίες.
Κακόβουλο λογισμικό που κρύβεται στις εικόνες
Μπορεί να ακούγεται τραβηγμένο, αλλά είναι αρκετά αληθινό. Το κακόβουλο λογισμικό που τοποθετείται μέσα σε εικόνες διαφόρων μορφών είναι αποτέλεσμα steganography, η τεχνική της απόκρυψης δεδομένων μέσα σε ένα αρχείο για την αποφυγή εντοπισμού. Η ESET Research εντόπισε αυτή την τεχνική να χρησιμοποιείται από την Ομάδα κυβερνοκατασκοπείας Worok, που απέκρυψε κακόβουλο κώδικα σε αρχεία εικόνας, λαμβάνοντας μόνο συγκεκριμένες πληροφορίες pixel από αυτά για να εξαγάγει ένα ωφέλιμο φορτίο για εκτέλεση. Λάβετε υπόψη ότι αυτό έγινε σε ήδη παραβιασμένα συστήματα, καθώς, όπως αναφέρθηκε προηγουμένως, η απόκρυψη κακόβουλου λογισμικού μέσα στις εικόνες είναι περισσότερο για την αποφυγή εντοπισμού παρά για την αρχική πρόσβαση.
Τις περισσότερες φορές, κακόβουλες εικόνες διατίθενται σε ιστότοπους ή τοποθετούνται μέσα σε έγγραφα. Κάποιοι μπορεί να θυμούνται adware: κώδικας κρυμμένος σε διαφημιστικά banner. Μόνος του, ο κώδικας στην εικόνα δεν μπορεί να εκτελεστεί, να εκτελεστεί ή να εξαχθεί μόνος του κατά την ενσωμάτωση. Πρέπει να παραδοθεί άλλο ένα κακόβουλο λογισμικό που φροντίζει για την εξαγωγή του κακόβουλου κώδικα και την εκτέλεσή του. Εδώ το επίπεδο αλληλεπίδρασης με τον χρήστη που απαιτείται είναι διαφορετικό και το πόσο πιθανό είναι κάποιος να παρατηρήσει κακόβουλη δραστηριότητα εξαρτάται περισσότερο από τον κώδικα που εμπλέκεται στην εξαγωγή παρά από την ίδια την εικόνα.
Τα λιγότερο (πιο) σημαντικά bit
Ένας από τους πιο πονηρούς τρόπους για να ενσωματώσετε κακόβουλο κώδικα σε μια εικόνα είναι να αντικαταστήσετε το λιγότερο σημαντικό bit κάθε τιμής κόκκινου-πράσινου-μπλε-άλφα (RGBA) κάθε pixel με ένα μικρό κομμάτι του μηνύματος. Μια άλλη τεχνική είναι να ενσωματώσετε κάτι στο κανάλι άλφα μιας εικόνας (που δηλώνει την αδιαφάνεια ενός χρώματος), χρησιμοποιώντας μόνο ένα εύλογα ασήμαντο τμήμα. Με αυτόν τον τρόπο, η εικόνα εμφανίζεται λίγο-πολύ ίδια με την κανονική, καθιστώντας τη διαφορά δύσκολο να εντοπιστεί με γυμνό μάτι.
Ένα παράδειγμα αυτού ήταν όταν τα νόμιμα διαφημιστικά δίκτυα προέβαλαν διαφημίσεις που δυνητικά οδηγούσαν σε αποστολή κακόβουλου banner από παραβιασμένο διακομιστή. Ο κώδικας JavaScript εξήχθη από το banner, αξιοποιώντας το Ευπάθεια CVE-2016-0162 σε ορισμένες εκδόσεις του Internet Explorer, για να λάβετε περισσότερες πληροφορίες σχετικά με τον στόχο.
Μπορεί να φαίνεται ότι και οι δύο εικόνες είναι ίδιες, αλλά μία από αυτές περιλαμβάνει κακόβουλο κώδικα στο κανάλι άλφα των pixel του. Παρατηρήστε πώς η εικόνα στα δεξιά είναι παράξενα pixeled.
(Πηγή: ESET Research)
Τα κακόβουλα ωφέλιμα φορτία που εξάγονται από φωτογραφίες θα μπορούσαν να χρησιμοποιηθούν για διάφορους σκοπούς. Στην περίπτωση ευπάθειας του Explorer, το σενάριο που εξήχθη έλεγξε αν εκτελείται σε ένα μηχάνημα που παρακολουθείται — όπως αυτό ενός αναλυτή κακόβουλου λογισμικού. Αν όχι, τότε ανακατευθύνεται σε ένα κιτ εκμετάλλευσης σελίδα προορισμού. Μετά την εκμετάλλευση, χρησιμοποιήθηκε ένα τελικό ωφέλιμο φορτίο για την παράδοση κακόβουλου λογισμικού όπως backdoors, τραπεζικά trojans, spyware, κλέφτες αρχείων και παρόμοια.
Όπως μπορείτε να δείτε, η διαφορά μεταξύ μιας καθαρής και μιας κακόβουλης εικόνας είναι μάλλον μικρή. Για ένα συνηθισμένο άτομο, η κακόβουλη εικόνα μπορεί να φαίνεται ελαφρώς διαφορετική και σε αυτήν την περίπτωση, η περίεργη εμφάνιση θα μπορούσε να μετατραπεί σε κακή ποιότητα και ανάλυση εικόνας, αλλά η πραγματικότητα είναι ότι όλα αυτά τα σκοτεινά pixel που επισημαίνονται στην εικόνα στα δεξιά είναι σημάδι κακοήθους κώδικα.
Δεν υπάρχει λόγος πανικού
Ίσως αναρωτιέστε, λοιπόν, εάν οι εικόνες που βλέπετε στα μέσα κοινωνικής δικτύωσης θα μπορούσαν να περιέχουν επικίνδυνο κώδικα. Σκεφτείτε ότι οι εικόνες που ανεβαίνουν σε ιστότοπους μέσων κοινωνικής δικτύωσης είναι συνήθως πολύ συμπιεσμένες και τροποποιημένες, επομένως θα ήταν πολύ προβληματικό για έναν παράγοντα απειλής να κρύψει τον πλήρως διατηρημένο και λειτουργικό κώδικα σε αυτές. Αυτό είναι ίσως προφανές όταν συγκρίνετε πώς εμφανίζεται μια φωτογραφία πριν και μετά τη μεταφόρτωσή της στο Instagram — συνήθως, υπάρχουν σαφείς διαφορές ποιότητας.
Το πιο σημαντικό, η απόκρυψη εικονοστοιχείων RGB και άλλες στεγανογραφικές μέθοδοι μπορούν να αποτελούν κίνδυνο μόνο όταν τα κρυφά δεδομένα διαβάζονται από ένα πρόγραμμα που μπορεί να εξαγάγει τον κακόβουλο κώδικα και να τον εκτελέσει στο σύστημα. Οι εικόνες χρησιμοποιούνται συχνά για την απόκρυψη κακόβουλου λογισμικού που έχει ληφθεί από εντολή και έλεγχος (C&C) διακομιστές για την αποφυγή εντοπισμού από λογισμικό κυβερνοασφάλειας. Σε μια περίπτωση, κάλεσε ένα trojan ZeroT, μέσω μολυσμένων εγγράφων του Word που επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου, κατέβηκε σε μηχανές των θυμάτων. Ωστόσο, αυτό δεν είναι το πιο ενδιαφέρον κομμάτι. Αυτό που είναι ενδιαφέρον είναι ότι κατέβασε επίσης μια παραλλαγή του PlugX RAT (γνωστός και ως Korplug) — χρησιμοποιώντας steganography για την εξαγωγή κακόβουλου λογισμικού από ένα εικόνα της Britney Spears.
Με άλλα λόγια, εάν προστατεύεστε από trojans όπως το ZeroT, τότε δεν χρειάζεται να νοιάζεστε τόσο για τη χρήση της στεγανογραφίας.
Τέλος, κάθε κώδικας εκμετάλλευσης που εξάγεται από εικόνες εξαρτάται από τα τρωτά σημεία που υπάρχουν για επιτυχή εκμετάλλευση. Εάν τα συστήματά σας έχουν ήδη επιδιορθωθεί, δεν υπάρχει περίπτωση να λειτουργήσει το exploit. Ως εκ τούτου, είναι καλή ιδέα να διατηρείτε πάντα ενημερωμένα την κυβερνοπροστασία, τις εφαρμογές και τα λειτουργικά σας συστήματα. Η εκμετάλλευση από κιτ εκμετάλλευσης μπορεί να αποφευχθεί εκτελώντας πλήρως ενημερωμένο λογισμικό και χρησιμοποιώντας ένα αξιόπιστο, ενημερωμένο λύση ασφαλείας.
Το ίδιο κανόνες κυβερνοασφάλειας εφαρμόστε όπως πάντα — και η ευαισθητοποίηση είναι το πρώτο βήμα προς μια πιο ασφαλή ζωή στον κυβερνοχώρο.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/en/malware/malware-hiding-in-pictures-more-likely-than-you-think/
