СтеганоКотики

Правила гигиены

добавить в избранное

СтеганоКотики

Прочитали: 4203 Комментариев: 94 Рейтинг: 112

13 ноября 2017

Мы уже рассказывали о том, что вредоносные программы могут прятать свои данные в изображениях — помещая их непосредственно в сами изображения или дописывая данные в конец файла легитимной картинки. Но эти способы не идеальны. В первом случае код виден как артефакт на картинке, а во втором изменение размера файла может быть замечено системами защиты. Вот как бы спрятать так, чтобы не видно было?

Приглядимся к очередной картинке.

Заметили что-нибудь необычное, кроме артефактов от сжатия? А теперь давайте посмотрим через отладчик на работу расширения, которое содержит эту картинку:

https://habrahabr.ru/company/yandex/blog/341382

Это стеганография (steganos — секрет, тайна; graphy — запись).

В данном примере рассматривается использование картинки для скрытого хранения вредоносным плагином для браузера, но использовать данный подход могут и обычные программы.

Как работает метод стеганографии?

Метод стеганографии базируется на том, что информация в виде аудио, видео и обычных графических изображение не критична к небольшим изменениям. В графическом изображении каждый пиксель цветного изображения формата RGB кодируется 3 байтами. 00000000 00000000 0000000 соответствует чёрному цвету, а 11111111 11111111 11111111 — белому. Если в каждом байте изменить самый младший бит, то цвет этого пикселя изменится так, что человеческий глаз просто не сможет обнаружить в файле разницу до и после изменений. Но если применять специальный алгоритм, работающий со всеми пикселями в изображении, то благодаря таким вот манипуляциям всего лишь с младшим битом в графическом файле можно закодировать довольно внушительные объёмы информации.

На это изображение можно сколько угодно смотреть, но, тем не менее, определить сам факт наличия в этом изображении зашифрованного сообщения нельзя. И лишь зная специальный алгоритм (ключ), можно извлечь зашифрованное сообщение.

Информацию можно спрятать не только в графических файлах, но и в видео-аудио файлах. Причём последние подходят для скрытия в них информации даже ещё лучше, чем файлы рисунков. Так, в цифровом аудиофайле с частотой дискретизации 44100 Гц, в режиме стерео, можно скрыть до 10 Килобайт информации на каждую секунду записи, опять же за счёт изменения младших битов.

http://www.crime-research.ru/library/Gorb4.htm

По ссылке (https://thehackernews.com/2015/06/Stegosploit-malware.html) можно посмотреть процесс внедрения вредоносного кода методом стеганографии.

Все бы было хорошо для злоумышленников, но графический файл не является сам по себе исполняемым, а значит, чтобы использовать данные из него, нужно, чтобы какой-то вредоносный файл уже был на компьютере. Хотя...

Упаковывая HTML и JavaScript в данные заголовка файла изображения, вы можете получить файл изображения (JPG или PNG), которое тем не менее будет интерпретироваться браузером как HTML-файл. Как этого достичь?

Самый простой способ — отправить файл изображения с веб-сервера с помощью HTTP-заголовка Content-Type: text / html. Несмотря на то, что это полностью нормальный файл изображения с расширением файла изображения, браузер будет обрабатывать его как HTML, отображать страницу и запускать скрипт, который он найдет внутри.

То есть мы имеем изображение, которое, по мнению браузера, представляет собой HTML с JavaScript внутри него, отображаемое браузером как изображение и одновременно содержащее эксплойта, который будет запущен тем же браузером.

https://hackaday.com/2015/11/06/stegosploit-owned-by-a-jpg

Блеск!

Кстати, упомянутый рассказ о стеганографии вышел в 2001 году, но нет пророков в своем отечестве.

Впервые об использовании стеганографии с целью сокрытия потенциально опасного кода от антивирусных программ рассказал индийский исследователь безопасности Саумил Шах (Saumil Shah).

http://www.securitylab.ru/news/473351.php

#вредоносное_ПО #безопасность #технологии

Антивирусная правДА! рекомендует

Вывод из данного выпуска достаточно печален. Всё — мираж и обманка. Если вы видите некий файл — он может быть совсем не тем, что вы думаете. Если вы кликаете на файл — он может извлечь из себя вредоносный код и запустить. Современные операционные системы и прикладные программы имеют огромное количество возможностей, предназначенных для нашего удобства, но комбинации этих возможностей периодически пугают.

Можно ли защититься от описанных методов внедрения? Честно говоря (даже не стремясь к рекламе), ничего, кроме антивируса, не придумаешь.

Забегая вперед: о подмене типа файла мы еще поговорим.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
23:39:27 2018-08-03

И правда ничего кроме антивируса и нету.

Неуёмный Обыватель Собкор
07:21:06 2018-06-20

Видишь котика? А он есть!

vasvet
17:58:33 2018-03-29

Опасность на каждом клике, надо ставить Dr.Web.

paran
05:05:16 2017-12-21

я читал тут один выпуск, какой-то троянец постоянно создавал папку, но на самом деле это был самораспаковывающийся архив с иконкой папки! троянец рассчитывал на функцию скрытия расширения и невнимательность

a13x Собкор
13:21:56 2017-12-13

Такого рода выпуски напоминают скорее подкаст выходного дня... Вам бы в телеграмм ленту вести. Для выпуска как статьи, на мой сугубо личный взгляд, мелковато.

Людмила
12:08:51 2017-11-20

@Littlefish,
ваше предложение вступает в конфликт с системой нашего антифлуда..

Littlefish Собкор
19:43:35 2017-11-17

@Людмила, так я не требую пропускать комментарии в секции новостей без модерации :-)
Я лишь прошу, если такое возможно конечно, добавить что-нибудь по типу всплывающего окна или что-то похожее с надписью: ваш комментарий отправлен.
А то, вроде бы и отправил комментарий, но иногда есть сомнения, попал ли комментарий на модерацию или канул в небытие, отправлять ли повторно тот же самый или как спам получится (сотрудников же тоже не хочется напрягать лишними комментариями), особенно, если там браузер подвис или при ошибке обработки запроса.
Возможно ли добавление какого-либо оповещения об успешной отправке комментария в разделе новостей?

Людмила
13:07:31 2017-11-15

@Littlefish,
еще прошу вас понимать, что у модерации новостей главного сайта 2 причины
1. нецензурщина.
2. туда часто пишут о каких-то проблемах. такой комментарий надо не просто прочитать и опубликовать, его надо отработать, привлечь профильных сотрудников, дождаться результата. сообщить автору комментария о результате работы с его заявлением.
мы внимательно работаем с каждым вашим словом. мы действительно читаем ВСЕ и реагируем на ВСЕ - но реакция эта не всегда моментальная, т.к. иногда работы по исправлению чего либо требуют времени. а еще у нас не легион сотрудников, а есть масса уникальных специалистов - единственных в нашей компании. люди ходят в отпуска, болеют, берут отгулы, да просто загружены чем-то более важным - их работу никто не может сделтаь вместо них.

Людмила
13:04:13 2017-11-15

@Littlefish,
"и ещё не совсем понятно писать ли комментарий заново или он принят и после проверки будет опубликован."
о какой проверке речь? здесь нет модерации. она только в новостях главного сайта - и то только потому, что эти комментарии появляются на главной странице. чтобы убрать модерацию и там, достаточно убрать с главной ленту комментариев. что видимо и сделаем

Людмила
12:33:28 2017-11-15

@Littlefish,
эта ошибка исправлена. спасибо за сигнал!

dyadya_Sasha Собкор
22:57:07 2017-11-14

@Vlad_X, ОК. Хоть и ничего страшного, а всё равно наверно не особо приятно получать комменты не на свои фразы. Теперь больше порядка, соответственно - меньше путаницы.

Vlad X
20:21:49 2017-11-14

@dyadya_Sasha, Ник я поменял,надеюсь теперь путать не придётся.
Быть добру.

Ruslan
20:19:09 2017-11-14

Интересная статья и полезная. Благодарю!

Любитель пляжного футбола Собкор
19:13:55 2017-11-14 Именинник

@Vlad_X, не забудьте сообщить об этом @dyadya_Sasha, кто уж кто, а он этому очень обрадуется. :)))) Хорошего вечера!

Vlad X
16:32:49 2017-11-14

@Любитель_пляжного_футбола, Спасибо,ник поменял.А то путаница
получается.

Любитель пляжного футбола Собкор
15:39:08 2017-11-14 Именинник

@Vlad, " Ник наверно не изменишь..."

Поменять можно, когда я вступил в проект в начале этого года, то у меня был псевдоним Beachsoccerfan, пару месяцев спустя я поменял его на то, что есть сейчас (просто перевёл на русский язык). :)

Galina X
09:00:54 2017-11-14

Будем надеяться,что антивирус защитит.

razgen Собкор
00:28:29 2017-11-14

Предполагаю, что частое возникновение ошибок при которых не открываются с первого раза страницы сайта, временное и связано с работами по обновлению дизайна отдельных разделов сайта.

razgen Собкор
00:17:05 2017-11-14

@Альфа, с Днём рождения. Всего наилучшего.

regiser
23:40:22 2017-11-13

И как защитится от этой беды. Статья просто подтверждает факт, а что делать не говорит

GREII Собкор
23:38:59 2017-11-13

скажите "скриншот" такой картинки - тоже копирует вредоносный код или картинка станет безопасной... спасибо за защиту

Andromeda
23:08:34 2017-11-13

Dr.Web - надёжный антивирус. Проверено временем.

Альфа
22:58:55 2017-11-13

Опасностей везде хватает. Простым пользователям остаётся надеяться, что Dr.Web защитит от них.

Littlefish Собкор
22:40:15 2017-11-13

@admin, и последнее время часто стала возникать эта ошибка - https://drw.sh/kkvrkb
Последний раз был как раз при первой попытке отправить комментарий здесь, который был опубликован со второго раза в 22:32:39.
Сообщение на webmaster@drweb.com отправил.
Ошибка появляется как при открытии сайта с компьютера, так и со смартфона.

Littlefish Собкор
22:32:39 2017-11-13

@admin, и ещё не совсем понятно писать ли комментарий заново или он принят и после проверки будет опубликован.

Littlefish Собкор
22:27:34 2017-11-13

@admin, подскажите пожалуйста, раньше такого ни разу не было - при нажатии на кнопку отправить комментарий в новостях очень долго мигает значок паучка. Раньше всегда это занимало не более пары секунд.

Littlefish Собкор
22:11:19 2017-11-13

Очень радует, что антивирусная компания в курсе всех этих ухищрений и защищает своих пользователей от любых хитростей, которые придумывают злоумышленники. Молодцы!

В...а
21:53:06 2017-11-13

был внимательнее всех - вот залог профессионала

vla_va
21:39:26 2017-11-13

Технология интересная, кто-то сообразит

ek
21:10:15 2017-11-13

Как интересно, столько хитростей

orw_mikle
20:38:44 2017-11-13

Как уже было 1000 раз отмечено, в современном мире без хорошего антивируса никуда. Вся надежда на Dr.Web.

kva-kva
20:36:24 2017-11-13

Картинки еще много чувствую возможностей хранят

Vlad X
20:29:29 2017-11-13

@dyadya_Sasha, Ник наверно не изменишь.Третий год я здесь.
Как пропустили одинаковый ник-это вопрос?Последнее время
такие казусы происходят.

zsergey
20:20:49 2017-11-13

Методы злоумышленников все более ухищренные.

Damir Собкор
20:17:39 2017-11-13

Да, в наше время, без антивируса никак.

Dvakota
20:14:13 2017-11-13

Dr.Web от любого "зверя" защитит !

mk.insta
20:11:18 2017-11-13

Детективная история прямо получилась!

Сергей
20:05:57 2017-11-13

Познавательная информация,есть над чем поразмыслить.

jennywren
19:39:54 2017-11-13

Спасибо за познавательную статью и безупречную защиту Доктор Веб!

Геральт Собкор
19:31:29 2017-11-13

Вся надежда на комплексный антивирус.

Шалтай Александр Болтай Собкор
18:35:20 2017-11-13

— Жалко, что морские котики не умеют мяукать… — Да, но зато они хорошо умеют пить, материться и разбивать кирпичи об голову.

Самуил Христианин
18:10:15 2017-11-13

Снова убеждаемся-без антивируса никак!!!Хорошо,что есть Dr.Web!!!

La folle
16:51:32 2017-11-13

Действительно печальная статья, но лишь для тех у кого нет надёжного антивируса!

dyadya_Sasha Собкор
16:51:11 2017-11-13

@Vlad, "...за чужие комментарии не отвечаю,будьте
внимательней..."
Вот вас Vlad-ов развелось.)))) Хоть бы один из вас цифирь какую приписал.)
@admin Может фильтр при регистрации на одинаковые ники при разных мылах поставить. Уже не первый раз неувязочка получается.

Toma
16:10:13 2017-11-13

Интересная статья. Защититься от таких угроз можно только с помощью антивируса. Спасибо!

Анатолий
14:59:51 2017-11-13

Без антивируса никуда. Шаг в сторону и что произойдет...

Masha
14:49:02 2017-11-13

Правильно, для защиты ничего, кроме антивируса, не придумаешь!

Alexander Собкор
14:39:00 2017-11-13

Интересная статья, привлекательное название, полезные ссылки. Всем знакома пословица "За деревьями леса не видно", в которой слышится укор тем кто, сосредоточившись на деталях (составляющих) не видит главного (цельного). В стеганографии особенности внимания человека используются "наоборот". Глядя на лес трудно рассмотреть отдельное дерево. В "лесу" (фото-, видео-, аудио-файлы и другие тоже) легко спрятать, трудно найти. Реально возможные "шероховатости" в цвете и звуке очень просто заменить специально созданным цифровым содержанием, которое может быть как нейтральной спрятанной нужной информацией, так и "спусковым крючком" для вредоносной программы.
Да, такая опасность имеется, и с развитием цифрового мира она будет только нарастать. Прекрасно, что Dr.Web знает об этой особенности и работает над противодействием злоумышленникам. Уверен, что Dr.Web Security Space убережет нас от таких вот опасных "шероховатостей".

Dmur
14:12:56 2017-11-13

Как много различных угроз! Спасибо за защиту!

Yra.Ka.
14:11:08 2017-11-13

Хорошо что есть антивирус, так бы сидел и боялся открыть картинку.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

СтеганоКотики

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей