Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (50)
  • добавить в избранное
    Добавить в закладки

СтеганоКотики

Прочитали: 1593 Комментариев: 92 Рейтинг: 91

Мы уже рассказывали о том, что вредоносные программы могут прятать свои данные в изображениях — помещая их непосредственно в сами изображения или дописывая данные в конец файла легитимной картинки. Но эти способы не идеальны. В первом случае код виден как артефакт на картинке, а во втором изменение размера файла может быть замечено системами защиты. Вот как бы спрятать так, чтобы не видно было?

Приглядимся к очередной картинке.

#drweb

Заметили что-нибудь необычное, кроме артефактов от сжатия? А теперь давайте посмотрим через отладчик на работу расширения, которое содержит эту картинку:

#drweb

https://habrahabr.ru/company/yandex/blog/341382

Это стеганография (steganos — секрет, тайна; graphy — запись).

В данном примере рассматривается использование картинки для скрытого хранения вредоносным плагином для браузера, но использовать данный подход могут и обычные программы.

Как работает метод стеганографии?

Метод стеганографии базируется на том, что информация в виде аудио, видео и обычных графических изображение не критична к небольшим изменениям. В графическом изображении каждый пиксель цветного изображения формата RGB кодируется 3 байтами. 00000000 00000000 0000000 соответствует чёрному цвету, а 11111111 11111111 11111111 — белому. Если в каждом байте изменить самый младший бит, то цвет этого пикселя изменится так, что человеческий глаз просто не сможет обнаружить в файле разницу до и после изменений. Но если применять специальный алгоритм, работающий со всеми пикселями в изображении, то благодаря таким вот манипуляциям всего лишь с младшим битом в графическом файле можно закодировать довольно внушительные объёмы информации.

На это изображение можно сколько угодно смотреть, но, тем не менее, определить сам факт наличия в этом изображении зашифрованного сообщения нельзя. И лишь зная специальный алгоритм (ключ), можно извлечь зашифрованное сообщение.

Информацию можно спрятать не только в графических файлах, но и в видео-аудио файлах. Причём последние подходят для скрытия в них информации даже ещё лучше, чем файлы рисунков. Так, в цифровом аудиофайле с частотой дискретизации 44100 Гц, в режиме стерео, можно скрыть до 10 Килобайт информации на каждую секунду записи, опять же за счёт изменения младших битов.

http://www.crime-research.ru/library/Gorb4.htm

По ссылке (https://thehackernews.com/2015/06/Stegosploit-malware.html) можно посмотреть процесс внедрения вредоносного кода методом стеганографии.

Все бы было хорошо для злоумышленников, но графический файл не является сам по себе исполняемым, а значит, чтобы использовать данные из него, нужно, чтобы какой-то вредоносный файл уже был на компьютере. Хотя...

Упаковывая HTML и JavaScript в данные заголовка файла изображения, вы можете получить файл изображения (JPG или PNG), которое тем не менее будет интерпретироваться браузером как HTML-файл. Как этого достичь?

Самый простой способ — отправить файл изображения с веб-сервера с помощью HTTP-заголовка Content-Type: text / html. Несмотря на то, что это полностью нормальный файл изображения с расширением файла изображения, браузер будет обрабатывать его как HTML, отображать страницу и запускать скрипт, который он найдет внутри.

То есть мы имеем изображение, которое, по мнению браузера, представляет собой HTML с JavaScript внутри него, отображаемое браузером как изображение и одновременно содержащее эксплойта, который будет запущен тем же браузером.

https://hackaday.com/2015/11/06/stegosploit-owned-by-a-jpg

Блеск!

Кстати, упомянутый рассказ о стеганографии вышел в 2001 году, но нет пророков в своем отечестве.

Впервые об использовании стеганографии с целью сокрытия потенциально опасного кода от антивирусных программ рассказал индийский исследователь безопасности Саумил Шах (Saumil Shah).

http://www.securitylab.ru/news/473351.php

#вредоносное_ПО #безопасность #технологии

Dr.Web рекомендует

Вывод из данного выпуска достаточно печален. Всё — мираж и обманка. Если вы видите некий файл — он может быть совсем не тем, что вы думаете. Если вы кликаете на файл — он может извлечь из себя вредоносный код и запустить. Современные операционные системы и прикладные программы имеют огромное количество возможностей, предназначенных для нашего удобства, но комбинации этих возможностей периодически пугают.

Можно ли защититься от описанных методов внедрения? Честно говоря (даже не стремясь к рекламе), ничего, кроме антивируса, не придумаешь.

Забегая вперед: о подмене типа файла мы еще поговорим.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: