-
добавить в избранное
Изображения и антивирус
26 февраля 2018
Уже в нескольких выпусках проекта «Антивирусная правДА!» мы рассказывали о том, как злоумышленники скрывают вредоносный код в различных изображениях. Подобные истории периодически продолжают всплывать. Причем если раньше мы говорили о вредоносных файлах, использующих подобные методы сокрытия (а значит, в общем-то, все было не так уж и страшно – антивирусы могли распознать признаки конкретно этих вредоносных объектов), то теперь речь о публичном размещении потенциально опасных сервисов.
Пользователь GitHub, известный как peewpw, опубликовал инструмент, позволяющий, как утверждает его создатель, встроить PowerShell-скрипт в пиксели PNG-изображения и сгенерировать oneliner (скорее всего, однострочную командную строку, пригодную, скажем, для встраивания в сайт – прим. редакции) на выполнение.
Каждый пиксель изображения используется для хранения одного байта скрипта. Разработанный инструмент побайтно сохраняет содержимое скрипта PowerShell в пиксели PNG-изображения, при этом для хранения нагрузки используются наименее значимые 4 бита двух значений цвета пикселя. Утверждается, что качество изображения пострадает, но тем не менее изображение будет выглядеть прилично.
Понятно, что метод применим не только для хранения определенных скриптов – таким образом можно скрыть любую информацию. Главное, чтобы файл изображения был достаточно большой. Скажем, Invoke-Mimikatz (утилита, предназначенная для поиска учетных записей пользователей) может быть помещен в изображение размером 1920x1200 точек.
Традиционно читатели задают нам вопрос: можно ли обнаружить ту или иную угрозу? В данном случае надо понимать, что представленный сервис – это по сути концепт метода хранения, а не конкретный вредоносный файл. Злоумышленники могут модифицировать этот метод для хранения чего угодно – главное, чтобы изображение было достаточно большим. При этом разные группы злоумышленников могут помещать в графические файлы самую разную начинку, в том числе и упакованную. В отличие от исполняемых файлов, имеющих четкую структуру и потому удобных для анализа, выяснить, куда именно запихали нечто вредоносное среди незначимых данных в файле графическом, крайне сложно (естественно, если это не касается уже известных вредоносных семейств).
Значит ли это, что всё безнадежно и поймать вредоносные файлы такого типа нельзя? Конечно же, нет. Нужно понимать, что графический файл – неисполняемый. Код в нем должен содержаться изначально и запускаться внешней утилитой – в этом случае антивирусу достаточно поймать именно этот запускающий файл. Либо же код из графического файла может быть исполнен при наличии уязвимости типа переполнения буфера. Скорее всего, описанный в данном выпуске метод хранения может быть использован только по первому варианту – через наличие внешнего исполняемого файла, который и будет обнаружен антивирусом.
#безопасность #технологииАнтивирусная правДА! рекомендует
- Мы это не ловим, поскольку речь не о вредоносном файле, а о концепте метода хранения. Будет вредоносный файл – будем ловить.
- Антивирус всегда должен быть актуальным. Какие уловки придумают злоумышленники завтра, не знает никто.
- Операционная система также должна быть актуальной и без известных уязвимостей.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
15:41:48 2020-03-25
Денисенко Павел Андреевич
12:44:04 2018-08-03
Неуёмный Обыватель
16:41:23 2018-06-12
anatol
21:47:18 2018-03-27
AntonIT
17:01:21 2018-03-15
На заборе тоже УТВЕРЖДАЮТ))!
Господа уважаемые - показываете реально работающие In Wild зловреды использующие данную технику, и приводите примеры!
А не теоретические векторы...
razgen
00:30:23 2018-03-01
Не совсем так, постараюсь объяснить попонятнее:
==2) Самое странное - реакторы не реагировали на команду отключения. продолжали работать...==
Это абсолютно неверно.
СУЗ всех АЭС имеют не менее трёх независимых петель контроля и отключения реактора. Только мы не употребляем слово отключение реактора, а говорим реактор остановлен (заглушен). Так вот при аварии на Фукусиме когда началось землетрясение, система аварийной защиты сработала чётко и все шесть реакторов были сразу же заглушены(остановлены). Соответственно при этом выработка электроэнергии прекратилась и произошло полное обесточивание энергоблоков.
==3) Взрыв произошел не ядерный, а паровой, изнутри.==
Да ядерного взрыва не было - но его физически не может быть на АЭС ни при каких самых неблагоприятных обстоятельствах. Взрываться ядерно там просто напросто нечему. Так как обогащение применяемого топлива не бывает более 5% по 235U.
Там произошёл взрыв водорода.
Почему такое стало возможно.
Поясняю, даже при проведении плановой процедуры останова энергоблока, для проведения ремонта, а ремонтируем мы блоки в России согласно предварительно утверждённого графика ежегодно, (один год текущий, следующий год средний, следующий капитальный) после того как реактор остановлен ещё в течении полутора суток идёт процесс расхолаживания при котором все ГЦНы не прекращают работу и охлаждающая жидкость циркулирует во все четырёх петлях КМПЦ так как происходит остаточное тепловыделения остановленного реактора. И только после этого ремонтные бригады могут приступить к работе.
И более того скажу вам что даже отработанное топливо после извлечения из реактора хранится 3-4 года для снижения остаточного энерговыделения в специальных бассейнах выдержки на АЭС.
На Фукусиме же после того как всё обесточилось, вслед или вместе с землетрясением пришла волна цунами которая накрыла резервные(аварийные) дизель-генераторы и они не смогли включиться.
Обесточенная система охлаждения не могла работать, температура остаточного тепловыделения остановленных реакторов быстро повышалась и достигла критических значений пароциркониевой реакции с выделением водорода, расплавлением оболочек топливных элементов и самого топлива с последующим закритическим повышением давления внутри оболочки накоплением и взрывом водорода.
В итоге, основной причиной произошедшей аварии при сложившихся обстоятельствах явилось следующее:
не возможность обеспечения охлаждения остаточного тепловыделения, по причине не срабатывания резервных(аварийных) дизель генераторов.
Очень интересно о своей поездке на Фукусиму в качестве эксперта по ликвидации последствий, рассказал можно сказать,
на бытовым доступным языком от первого лица наш лучший эксперт Первый заместитель гендиректора "Росэнергоатома" Владимир Григорьевич Асмолов, советую прочитать: https://rg.ru/2012/06/21/fukusima.html
Хотя японцы, хорошо зная его, два дня пытались не допустить туда. Он ещё находясь в Москве с коллегами построили схему расчета, и у них был свой прогноз. Как потом оказалось, абсолютно достоверный по сценарию развития аварии на АЭС.
Раш КХ
17:02:42 2018-02-28
Шалтай Александр Болтай
18:18:52 2018-02-27
Шалтай Александр Болтай
18:06:42 2018-02-27
Мой ник также как и Ваш переводиться буквально "Шалтай Александр Болтай".
Littlefish
15:56:31 2018-02-27
Littlefish
15:44:22 2018-02-27
Biggurza
12:27:47 2018-02-27
Что хотелось бы отметить. 1) Станция спроектирована на берегу океана и имела защиту от волнового удара цунами и землетрясения в 9 баллов. Это факт. 2) Самое странное - реакторы не реагировали на команду отключения. продолжали работать, но в режим "разноса" не ушли, значит кем-то управлялись, но не оператором. 3) Взрыв произошел не ядерный, а паровой, изнутри. На такое корпус реактора рассчитан не был.
4) Вывод. Разрушение корпуса реактора фукусимской АЭС могло быть организовано теми людьми, которые знали: особенности проекта корпуса реактора, особенности системы автоматизированного управления, правила вывода реактора в режим парового взрыва и РЕАЛЬНО управляли реактором во время землетрясения, которое, также по мнению некоторых аналитиков, вызвано глубинным ядерным взрывом в глубоководном океаническом ущелье.
Не стоит верить СМИ. Они то, как раз и привлечены для прикрытия произошедшего.
Еще раз: Германия отказалась от ядерной энергетики после фукусимских событий. Франция организовала работу специальной комиссии по данному вопросу. Китай отказался от OS Win' в АСУ промышленного значения. И т.д. и т.п. И всё - после фукусимы.
Людмила
10:13:51 2018-02-27
"появилась идея: добавить возможность давать прямую ссылку на определённый комментарий администрации или пользователя из текущего или прошлых выпусков "
идея отличная, принята к исполнению. вам в благодарность Dr.Web-ки и трофей:) только прошу учесть, что если автор комментария вдруг удалит его, ссылка будет вести в никуда. Но думаю это будет происходить крайне редко.
dyadya_Sasha
09:54:19 2018-02-27
По-хорошему завидую.)
Людмила
09:39:00 2018-02-27
спасибо:))) работа у меня не просто интересная, а самая лучшая. Без преувеличений. Чего и всем желаю!
robot
09:24:32 2018-02-27
zsergey
08:34:18 2018-02-27
a13x
02:05:09 2018-02-27
И вопрос к работникам Доктора Веба - к тем, кто выпуск пишет. Представим на минуточку, что есть в стране нашей люди, которые бы хотели обучиться программированию, многое узнать об уязвимостях в системах, но в проекте их запугивают, что всё это плохо, заниматься этим нельзя, а если хочется - иди официально учись... и т.д.
Вопрос: а если человек хочет обучится каким-то навыкам программирования, поэкспериментировать с файлами, вирусами, троянами на 100 рядов известными - может имеет смысл организовать какую никакую "кибер-академию", где можно было бы с подобными вещами знакомить обычных людей, давая возможность самим что-нибудь вытворить, что заведомо лечится антивирусом? (но просто как в старые, добрые 90-е для эксперимента, ради интереса предоставить доступ к чему-то реальному для обучения)
Или же это как-то потенциально опасно для защиты?..
razgen
00:34:15 2018-02-27
Действительно, сегодняшний денёк необычайно активен по комментариям. Всего за один день почти полторы сотни.
Да плюс ещё новостные итоги аукциона.
razgen
00:26:51 2018-02-27
Спасибо за поздравление. Желаю и вам скорейших преодолений определённых рубежей.
P.S. С вашим предложением прекратить дискуссию полностью согласен. А то тут уже начали ввязываться проходящие мимо, этак и конца никогда не будет.
razgen
00:10:35 2018-02-27
Вывод очевиден. Наличие на ПК антивируса Dr.Web Security Space 11 обязательно. Причём он должен быть всегда включён и обновлён.
razgen
23:58:01 2018-02-26
"фукусимские события" произошли в результате сильнейшего в истории Японии землетрясения. Вслед за подземными толчками на берег пришла 14-метровая волна цунами, которая затопила четыре из шести энергоблоков АЭС "Фукусима-1" и вывела из строя систему охлаждения реакторов.
Проектом АЭС не была предусмотрена защита от воздействия на станцию цунами и вся возможная цепочка последствий вызванная подобным фактором. Последствия превзошли все научные расчеты.
Число погибших и пропавших без вести жителей превысило 20 тысяч человек.
ОС Win' здесь ни причём.
Zserg
23:48:30 2018-02-26
Littlefish
23:46:52 2018-02-26
Lenba
23:44:12 2018-02-26
vla_va
22:13:12 2018-02-26
НинаК
22:04:55 2018-02-26
ek
21:57:35 2018-02-26
dyadya_Sasha
21:40:41 2018-02-26
dyadya_Sasha
21:35:16 2018-02-26
eaglebuk
21:28:31 2018-02-26
Lia00
21:25:26 2018-02-26
В...а
21:24:29 2018-02-26
kva-kva
21:07:33 2018-02-26
orw_mikle
21:06:04 2018-02-26
mk.insta
20:50:27 2018-02-26
Alex_1774
20:44:06 2018-02-26
razgen
19:49:36 2018-02-26
@Людмила, "а экзаменом сделать вопросы к выпускам?"
Ну, тут для творчества простор широкий! :)) А по большому счёту - да. Вопрос экзамена должен быть построен именно на материалах выпуска, чтобы логически требовалось его изучения (как минимум - прочтения). Почему бы и нет?
Очень интересное предложение. Поддерживаю двумя руками, прежде всего за то что вижу в этом повышение уровня знаний по информационной безопасности участников проекта. Чем больше экзаменов, конкурсов, викторин и т.д. тем интереснее осваивать вышеуказанные знания.
razgen
19:41:50 2018-02-26
Я же сказал, что это моё личное мнение. Ваше мнение я уважаю. Каждый имеет свои что ли рамки, не знаю как тут выразиться, рамки дозволенного что ли так, которые он установил лично для себя. Так вот хоть это и разрешается, но в этом конкретном случае "В чужой монастырь со своим уставом не ходят" это лично мои рамки не имеющие отношения к вам, я как бы постеснялся что ли указывать администрации например на что то что мне может быть не нравиться установленные ими значки или что другое к чему все привыкли. Не знаю насколько я перегибаю, но такие вот рамки я установил по отношению лично к себе.
Александр
19:41:34 2018-02-26
Сергей
19:25:12 2018-02-26
Damir
19:10:28 2018-02-26
Toma
18:53:45 2018-02-26
Littlefish
18:32:01 2018-02-26
Littlefish
18:21:16 2018-02-26
"...то, что вы (не обязательно вы естественно) не знаете тонкостей какой-то области - не означает, что вы не являетесь специалистов в иной. И скорее всего мои вопросы там будут наивными.
Наоборот замечательно, что вы (и остальные участники проекта)задаете вопросы. Открою вам секрет - иногда вопросы участников проекта заставляют нас по новому взглянуть на проблемы - и это замечательно.
Те, кто спрашивает и предлагает - открыты для диалога - и это прекрасно - хуже, когда люди молчат
Спрашивайте и предлагайте!"
Littlefish
18:14:47 2018-02-26
Какие идеи хорошие, а какие идеи не совсем хорошие будет решать исключительно администрация, а не один единственный пользователь.
Ни в коем случае не переставайте предлагать администрации что-нибудь новое, если Вам придут на ум интересные идеи обязательно делитесь ими.
Littlefish
18:01:15 2018-02-26
Littlefish
17:58:10 2018-02-26
По поводу ника: fish в переводе с английского - рыба и по знаку зодиака рыба (не фанатею по гороскопам, но плавать люблю), little с английского - небольшая, маленькая (так как пока что не страдаю манией величия :-).
DrKV
17:37:31 2018-02-26
Да, это уже повод набить морду оппоненту! :))
Пожалуй, прекратим эту никому не нужную дискуссию. Всё что я хотел сказать, я уже сказал.
=========
P.S. Примите мои искренние поздравления со взятием тридцатитысячного рубежа!
razgen
17:28:46 2018-02-26
Имеющиеся значки статические и однозначно соответствуют реальности.
Значение же предлагаемого значка динамически изменяющееся и как я уже говорил не всегда соответствует реальности, что может иной раз вызывать непонимание.
Вот вы например (или кто другой) задав вопрос пользователю и видите что он в сети но не отвечает на ваше обращение. У вас это может вызвать недопонимание, почему он видя вопрос, не хочет отвечать и игнорирует ваше обращение. На самом деле пользователь просто напросто не видит ваше сообщение, потому что он ушёл в другую комнату смотреть хоккей или пошёл на улицу на каток сам играть в хоккей. Но при этом значок "Online" у него светится, он просто не выключил компьютер.