СтеганоКотики
13 ноября 2017
Мы уже рассказывали о том, что вредоносные программы могут прятать свои данные в изображениях — помещая их непосредственно в сами изображения или дописывая данные в конец файла легитимной картинки. Но эти способы не идеальны. В первом случае код виден как артефакт на картинке, а во втором изменение размера файла может быть замечено системами защиты. Вот как бы спрятать так, чтобы не видно было?
Приглядимся к очередной картинке.
Заметили что-нибудь необычное, кроме артефактов от сжатия? А теперь давайте посмотрим через отладчик на работу расширения, которое содержит эту картинку:
Это стеганография (steganos — секрет, тайна; graphy — запись).
В данном примере рассматривается использование картинки для скрытого хранения вредоносным плагином для браузера, но использовать данный подход могут и обычные программы.
Как работает метод стеганографии?
Метод стеганографии базируется на том, что информация в виде аудио, видео и обычных графических изображение не критична к небольшим изменениям. В графическом изображении каждый пиксель цветного изображения формата RGB кодируется 3 байтами. 00000000 00000000 0000000 соответствует чёрному цвету, а 11111111 11111111 11111111 — белому. Если в каждом байте изменить самый младший бит, то цвет этого пикселя изменится так, что человеческий глаз просто не сможет обнаружить в файле разницу до и после изменений. Но если применять специальный алгоритм, работающий со всеми пикселями в изображении, то благодаря таким вот манипуляциям всего лишь с младшим битом в графическом файле можно закодировать довольно внушительные объёмы информации.
На это изображение можно сколько угодно смотреть, но, тем не менее, определить сам факт наличия в этом изображении зашифрованного сообщения нельзя. И лишь зная специальный алгоритм (ключ), можно извлечь зашифрованное сообщение.
Информацию можно спрятать не только в графических файлах, но и в видео-аудио файлах. Причём последние подходят для скрытия в них информации даже ещё лучше, чем файлы рисунков. Так, в цифровом аудиофайле с частотой дискретизации 44100 Гц, в режиме стерео, можно скрыть до 10 Килобайт информации на каждую секунду записи, опять же за счёт изменения младших битов.
По ссылке (https://thehackernews.com/2015/06/Stegosploit-malware.html) можно посмотреть процесс внедрения вредоносного кода методом стеганографии.
Все бы было хорошо для злоумышленников, но графический файл не является сам по себе исполняемым, а значит, чтобы использовать данные из него, нужно, чтобы какой-то вредоносный файл уже был на компьютере. Хотя...
Упаковывая HTML и JavaScript в данные заголовка файла изображения, вы можете получить файл изображения (JPG или PNG), которое тем не менее будет интерпретироваться браузером как HTML-файл. Как этого достичь?
Самый простой способ — отправить файл изображения с веб-сервера с помощью HTTP-заголовка Content-Type: text / html. Несмотря на то, что это полностью нормальный файл изображения с расширением файла изображения, браузер будет обрабатывать его как HTML, отображать страницу и запускать скрипт, который он найдет внутри.
То есть мы имеем изображение, которое, по мнению браузера, представляет собой HTML с JavaScript внутри него, отображаемое браузером как изображение и одновременно содержащее эксплойта, который будет запущен тем же браузером.
Блеск!
Кстати, упомянутый рассказ о стеганографии вышел в 2001 году, но нет пророков в своем отечестве.
Впервые об использовании стеганографии с целью сокрытия потенциально опасного кода от антивирусных программ рассказал индийский исследователь безопасности Саумил Шах (Saumil Shah).
Антивирусная правДА! рекомендует
Вывод из данного выпуска достаточно печален. Всё — мираж и обманка. Если вы видите некий файл — он может быть совсем не тем, что вы думаете. Если вы кликаете на файл — он может извлечь из себя вредоносный код и запустить. Современные операционные системы и прикладные программы имеют огромное количество возможностей, предназначенных для нашего удобства, но комбинации этих возможностей периодически пугают.
Можно ли защититься от описанных методов внедрения? Честно говоря (даже не стремясь к рекламе), ничего, кроме антивируса, не придумаешь.
Забегая вперед: о подмене типа файла мы еще поговорим.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
23:39:27 2018-08-03
Неуёмный Обыватель
07:21:06 2018-06-20
vasvet
17:58:33 2018-03-29
paran
05:05:16 2017-12-21
a13x
13:21:56 2017-12-13
Людмила
12:08:51 2017-11-20
ваше предложение вступает в конфликт с системой нашего антифлуда..
Littlefish
19:43:35 2017-11-17
Я лишь прошу, если такое возможно конечно, добавить что-нибудь по типу всплывающего окна или что-то похожее с надписью: ваш комментарий отправлен.
А то, вроде бы и отправил комментарий, но иногда есть сомнения, попал ли комментарий на модерацию или канул в небытие, отправлять ли повторно тот же самый или как спам получится (сотрудников же тоже не хочется напрягать лишними комментариями), особенно, если там браузер подвис или при ошибке обработки запроса.
Возможно ли добавление какого-либо оповещения об успешной отправке комментария в разделе новостей?
Людмила
13:07:31 2017-11-15
еще прошу вас понимать, что у модерации новостей главного сайта 2 причины
1. нецензурщина.
2. туда часто пишут о каких-то проблемах. такой комментарий надо не просто прочитать и опубликовать, его надо отработать, привлечь профильных сотрудников, дождаться результата. сообщить автору комментария о результате работы с его заявлением.
мы внимательно работаем с каждым вашим словом. мы действительно читаем ВСЕ и реагируем на ВСЕ - но реакция эта не всегда моментальная, т.к. иногда работы по исправлению чего либо требуют времени. а еще у нас не легион сотрудников, а есть масса уникальных специалистов - единственных в нашей компании. люди ходят в отпуска, болеют, берут отгулы, да просто загружены чем-то более важным - их работу никто не может сделтаь вместо них.
Людмила
13:04:13 2017-11-15
"и ещё не совсем понятно писать ли комментарий заново или он принят и после проверки будет опубликован."
о какой проверке речь? здесь нет модерации. она только в новостях главного сайта - и то только потому, что эти комментарии появляются на главной странице. чтобы убрать модерацию и там, достаточно убрать с главной ленту комментариев. что видимо и сделаем
Людмила
12:33:28 2017-11-15
эта ошибка исправлена. спасибо за сигнал!
dyadya_Sasha
22:57:07 2017-11-14
Vlad X
20:21:49 2017-11-14
Быть добру.
Ruslan
20:19:09 2017-11-14
Любитель пляжного футбола
19:13:55 2017-11-14
Vlad X
16:32:49 2017-11-14
получается.
Любитель пляжного футбола
15:39:08 2017-11-14
Поменять можно, когда я вступил в проект в начале этого года, то у меня был псевдоним Beachsoccerfan, пару месяцев спустя я поменял его на то, что есть сейчас (просто перевёл на русский язык). :)
Galina X
09:00:54 2017-11-14
razgen
00:28:29 2017-11-14
razgen
00:17:05 2017-11-14
regiser
23:40:22 2017-11-13
GREII
23:38:59 2017-11-13
Andromeda
23:08:34 2017-11-13
Альфа
22:58:55 2017-11-13
Littlefish
22:40:15 2017-11-13
Последний раз был как раз при первой попытке отправить комментарий здесь, который был опубликован со второго раза в 22:32:39.
Сообщение на webmaster@drweb.com отправил.
Ошибка появляется как при открытии сайта с компьютера, так и со смартфона.
Littlefish
22:32:39 2017-11-13
Littlefish
22:27:34 2017-11-13
Littlefish
22:11:19 2017-11-13
В...а
21:53:06 2017-11-13
vla_va
21:39:26 2017-11-13
ek
21:10:15 2017-11-13
orw_mikle
20:38:44 2017-11-13
kva-kva
20:36:24 2017-11-13
Vlad X
20:29:29 2017-11-13
Как пропустили одинаковый ник-это вопрос?Последнее время
такие казусы происходят.
zsergey
20:20:49 2017-11-13
Damir
20:17:39 2017-11-13
Dvakota
20:14:13 2017-11-13
mk.insta
20:11:18 2017-11-13
Сергей
20:05:57 2017-11-13
jennywren
19:39:54 2017-11-13
Геральт
19:31:29 2017-11-13
Шалтай Александр Болтай
18:35:20 2017-11-13
Самуил Христианин
18:10:15 2017-11-13
La folle
16:51:32 2017-11-13
dyadya_Sasha
16:51:11 2017-11-13
внимательней..."
Вот вас Vlad-ов развелось.)))) Хоть бы один из вас цифирь какую приписал.)
@admin Может фильтр при регистрации на одинаковые ники при разных мылах поставить. Уже не первый раз неувязочка получается.
Toma
16:10:13 2017-11-13
Анатолий
14:59:51 2017-11-13
Masha
14:49:02 2017-11-13
Alexander
14:39:00 2017-11-13
Да, такая опасность имеется, и с развитием цифрового мира она будет только нарастать. Прекрасно, что Dr.Web знает об этой особенности и работает над противодействием злоумышленникам. Уверен, что Dr.Web Security Space убережет нас от таких вот опасных "шероховатостей".
Dmur
14:12:56 2017-11-13
Yra.Ka.
14:11:08 2017-11-13