Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (57)
  • добавить в избранное
    Добавить в закладки

Изображения и антивирус

Прочитали: 2102 Комментариев: 163 Рейтинг: 107

Уже в нескольких выпусках проекта «Антивирусная правДА!» мы рассказывали о том, как злоумышленники скрывают вредоносный код в различных изображениях. Подобные истории периодически продолжают всплывать. Причем если раньше мы говорили о вредоносных файлах, использующих подобные методы сокрытия (а значит, в общем-то, все было не так уж и страшно – антивирусы могли распознать признаки конкретно этих вредоносных объектов), то теперь речь о публичном размещении потенциально опасных сервисов.

Пользователь GitHub, известный как peewpw, опубликовал инструмент, позволяющий, как утверждает его создатель, встроить PowerShell-скрипт в пиксели PNG-изображения и сгенерировать oneliner (скорее всего, однострочную командную строку, пригодную, скажем, для встраивания в сайт – прим. редакции) на выполнение.

Каждый пиксель изображения используется для хранения одного байта скрипта. Разработанный инструмент побайтно сохраняет содержимое скрипта PowerShell в пиксели PNG-изображения, при этом для хранения нагрузки используются наименее значимые 4 бита двух значений цвета пикселя. Утверждается, что качество изображения пострадает, но тем не менее изображение будет выглядеть прилично.

#drweb

https://github.com/peewpw/Invoke-PSImage

Понятно, что метод применим не только для хранения определенных скриптов – таким образом можно скрыть любую информацию. Главное, чтобы файл изображения был достаточно большой. Скажем, Invoke-Mimikatz (утилита, предназначенная для поиска учетных записей пользователей) может быть помещен в изображение размером 1920x1200 точек.

Традиционно читатели задают нам вопрос: можно ли обнаружить ту или иную угрозу? В данном случае надо понимать, что представленный сервис – это по сути концепт метода хранения, а не конкретный вредоносный файл. Злоумышленники могут модифицировать этот метод для хранения чего угодно – главное, чтобы изображение было достаточно большим. При этом разные группы злоумышленников могут помещать в графические файлы самую разную начинку, в том числе и упакованную. В отличие от исполняемых файлов, имеющих четкую структуру и потому удобных для анализа, выяснить, куда именно запихали нечто вредоносное среди незначимых данных в файле графическом, крайне сложно (естественно, если это не касается уже известных вредоносных семейств).

Значит ли это, что всё безнадежно и поймать вредоносные файлы такого типа нельзя? Конечно же, нет. Нужно понимать, что графический файл – неисполняемый. Код в нем должен содержаться изначально и запускаться внешней утилитой – в этом случае антивирусу достаточно поймать именно этот запускающий файл. Либо же код из графического файла может быть исполнен при наличии уязвимости типа переполнения буфера. Скорее всего, описанный в данном выпуске метод хранения может быть использован только по первому варианту – через наличие внешнего исполняемого файла, который и будет обнаружен антивирусом.

#безопасность #технологии

Dr.Web рекомендует

  1. Мы это не ловим, поскольку речь не о вредоносном файле, а о концепте метода хранения. Будет вредоносный файл – будем ловить.
  2. Антивирус всегда должен быть актуальным. Какие уловки придумают злоумышленники завтра, не знает никто.
  3. Операционная система также должна быть актуальной и без известных уязвимостей.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: