Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (97)
  • добавить в избранное
    Добавить в закладки

Живые картинки

Прочитали: 14672 Комментариев: 58 Рейтинг: 70

15 апреля 2019

Возможность сокрытия вредоносного кода в изображениях сама по себе уже не секрет. Но картинка нужна только в качестве удобного хранилища, а для извлечения такого кода, как правило, требуется другая программа. Вернее, требовалась – до недавнего времени.

В случае же с Polyglot вредоносный файл может быть изображением и JavaScript-кодом одновременно, и для извлечения вредоноса никаких дополнительных скриптов не требуется. После загрузки в браузере изображение превращается в зашифрованное сообщение, смысл которого становится понятен, если прогнать его через дешифратор, поставляемый вместе с изображением.

Источник

Процедура обмана компьютера описана здесь.

Откроем файл формата BMP.

#drweb

Первые два байта (красный квадрат) представляют собой шестнадцатеричное представление символов BM для изображения BMP. Эти символы нужны, чтобы компьютер знал, как обрабатывать этот файл – они определяют тип файла. Следующие 4 байта (8A C0 A8 00) – это размер файла изображения. Далее следуют 4 нулевых байта (00 00 00 00) и смещения данных (8A 00 00 00). Это дает компьютеру большую часть информации, которую он должен знать, чтобы правильно выполнить этот файл.

А теперь заголовок файла с техникой Polyglot:

#drweb

Похоже, да? Заголовок тоже начинается с BM. Размер и смещение данных также имеются. Уловка заключается в том, что злоумышленник может контролировать размер изображения, а шестнадцатеричные символы можно прописать такие, чтобы они интерпретировались компьютером как нечто другое. Злоумышленник изменил байты, отвечающие за размер изображения, чтобы они также стали кодами символов / **. Эта комбинация символов показывает на наличие комментария JavaScript. Комментарии JavaScript используются для того, чтобы интерпретатор JavaScript игнорировал всё, что находится между этими символами, т. е. между / * и * /.

Давайте посмотрим на часть эксплойта, которая находится в конце файла.

#drweb

Как и ожидалось, комментарий JavaScript заканчивается на * /. Затем атакующий добавляет символы = и `. Тем самым злоумышленник превратил тип файла BM в переменную JavaScript и присвоил ей другую, сильно запутанную полезную нагрузку.

Файл можно запустить в браузере двумя разными способами:

  • <img src = "polyglot.jpg" /> – в этом случае браузер покажет пользователю изображение и проигнорирует JavaScript;
  • <script src = "polyglot.jpg"> </ script> – браузер выполнит JavaScript и проигнорирует данные изображения.

Найдите скрипт в файле ниже!

#drweb

#криптография #JavaScript #эксплойт

Антивирусная правДА! рекомендует

Вредоносный код может содержаться даже в изображении, и, глядя на безобидную картинку, вы никогда не догадаетесь, что заражение системы произошло из-за нее.

Технологии сокрытия вредоносного функционала постоянно развиваются — но и защитные технологии не стоят на месте, и от такого рода угроз нет защиты, кроме антивируса. Установите Dr.Web: благодаря комплексной работе эвристических, поведенческих и превентивных несигнатурных технологий он обеспечивает защиту от любых известных и неизвестных угроз.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: