Haittaohjelmat, digitaalinen tietoturva
Joissakin kuvissa on enemmän kuin näkee – niiden näennäisen viaton julkisivu voi peittää synkän uhan.
02 Huhtikuu 2024
•
,
4 min. lukea
Kyberturvallisuusohjelmistot ovat kasvaneet varsin kykeneviksi havaitsemaan epäilyttävät tiedostot, ja kun yritykset ovat yhä tietoisempia tarpeesta parantaa tietoturva-asentoaan lisäsuojakerroksilla, havaitsemisen välttäminen on tullut välttämättömäksi.
Pohjimmiltaan mikä tahansa kyberturvallisuusohjelmisto on tarpeeksi vahva havaitsemaan useimmat haitalliset tiedostot. Tästä syystä uhkatoimijat etsivät jatkuvasti erilaisia tapoja välttää havaitsemista, ja yksi näistä tekniikoista on kuviin tai valokuviin piilotettujen haittaohjelmien käyttö.
Haittaohjelmat piiloutuvat kuviin
Se saattaa kuulostaa kaukaa haetulta, mutta se on aivan totta. Erimuotoisten kuvien sisään sijoitetut haittaohjelmat ovat seurausta steganography, tekniikka piilottaa tiedot tiedostoon havaitsemisen välttämiseksi. ESET Research havaitsi, että tätä tekniikkaa käyttävät Workokin kybervakoiluryhmä, joka piilotti haitallisen koodin kuvatiedostoihin ja otti niistä vain tiettyjä pikselitietoja poimiakseen suoritettavan hyötykuorman. Muista kuitenkin, että tämä tehtiin jo vaarantuneissa järjestelmissä, koska kuten aiemmin mainittiin, haittaohjelmien piilottaminen kuvien sisällä on enemmän havaitsemisen välttämistä kuin alkuperäistä pääsyä.
Useimmiten haitalliset kuvat asetetaan saataville verkkosivustoilla tai sijoitetaan asiakirjojen sisään. Jotkut saattavat muistaa mainosohjelman: mainosbannereihin piilotettu koodi. Pelkästään kuvan koodia ei voida ajaa, suorittaa tai purkaa sellaisenaan upotettuna. On toimitettava toinen haittaohjelma, joka huolehtii haitallisen koodin purkamisesta ja sen suorittamisesta. Tässä vaadittava käyttäjän vuorovaikutuksen taso vaihtelee ja kuinka todennäköisesti joku havaitsee haitallisen toiminnan, vaikuttaa enemmän poimimiseen liittyvästä koodista kuin itse kuvasta.
Vähiten (vähiten) merkitsevät bitit
Yksi kieroutuneimmista tavoista upottaa haitallista koodia kuvaan on korvata vähiten merkitsevä bitti jokaisen pikselin puna-vihreä-sininen-alfa (RGBA) -arvosta yhdellä pienellä palalla viestiä. Toinen tekniikka on upottaa jotain kuvan alfakanavaan (ilmaisee värin opasiteettia) käyttämällä vain kohtuullisen merkityksetöntä osaa. Tällä tavalla kuva näyttää enemmän tai vähemmän samalta kuin tavallinen, joten eroa on vaikea havaita paljaalla silmällä.
Esimerkki tästä oli, kun lailliset mainosverkostot näyttivät mainoksia, jotka mahdollisesti johtivat haitallisen bannerin lähettämiseen vaarantuneelta palvelimelta. JavaScript-koodi poimittiin bannerista hyödyntäen CVE-2016-0162 haavoittuvuus joissakin Internet Explorerin versioissa saadaksesi lisätietoja kohteesta.
Saattaa vaikuttaa siltä, että molemmat kuvat ovat samoja, mutta yksi niistä sisältää haitallista koodia pikselien alfakanavalla. Huomaa, kuinka oikealla oleva kuva on oudosti pikselöity.
(Lähde: ESET Research)
Kuvista poimittuja haitallisia hyötykuormia voidaan käyttää eri tarkoituksiin. Explorer-haavoittuvuustapauksessa purettu komentosarja tarkisti, oliko se käynnissä valvotussa koneessa – kuten haittaohjelmaanalyytikon koneessa. Jos ei, se ohjataan uudelleen osoitteeseen an exploit kit aloitussivu. Hyödyntämisen jälkeen viimeistä hyötykuormaa käytettiin haittaohjelmien, kuten takaovien, pankkitroijalaisten, vakoiluohjelmien, tiedostovarkaiden ja vastaavien toimittamiseen.
Kuten näet, ero puhtaan ja haitallisen kuvan välillä on melko pieni. Tavalliselle ihmiselle ilkeä kuva saattaa näyttää hieman erilaiselta, ja tässä tapauksessa outo ilme saattaa johtua huonosta kuvanlaadusta ja resoluutiosta, mutta tosiasia on, että kaikki nuo oikealla olevassa kuvassa korostetut tummat pikselit ovat merkki pahanlaatuisesta koodista.
Ei syytä paniikkiin
Saatat sitten miettiä, voivatko sosiaalisessa mediassa näkemäsi kuvat sisältää vaarallista koodia. Ota huomioon, että sosiaalisen median verkkosivustoille ladatut kuvat ovat yleensä voimakkaasti pakattuja ja muokattuja, joten uhkatoimijan olisi erittäin ongelmallista piilottaa niihin täysin säilynyt ja toimiva koodi. Tämä on ehkä ilmeistä, kun vertaat valokuvan ulkonäköä ennen ja sen jälkeen, kun olet ladannut sen Instagramiin – tyypillisesti laadussa on selkeitä eroja.
Mikä tärkeintä, RGB-pikseleiden piilottaminen ja muut steganografiset menetelmät voivat aiheuttaa vaaran vain, kun piilotetut tiedot lukee ohjelma, joka voi purkaa haitallisen koodin ja suorittaa sen järjestelmässä. Kuvia käytetään usein salaamaan osoitteesta ladattuja haittaohjelmia komento ja ohjaus (C&C) palvelimia, jotta kyberturvallisuusohjelmisto ei havaitse niitä. Yhdessä tapauksessa troijalainen soitti ZeroT, sähköposteihin liitettyjen saastuneiden Word-dokumenttien kautta, ladattiin uhrien koneille. Se ei kuitenkaan ole kiinnostavin osa. Mielenkiintoista on, että se latasi myös muunnelman PlugX RAT:sta (alias Korplug) — käyttämällä steganografiaa haittaohjelmien poistamiseen käyttäjän Britney Spears kuva.
Toisin sanoen, jos olet suojattu troijalaisilta, kuten ZeroT, sinun ei tarvitse välittää niin paljon sen steganografian käytöstä.
Lopuksi, mikä tahansa kuvista poimittu hyväksikäyttökoodi riippuu haavoittuvuuksista, jotka mahdollistavat onnistuneen hyödyntämisen. Jos järjestelmäsi on jo korjattu, hyväksikäytöllä ei ole mahdollisuutta toimia. Siksi on hyvä idea pitää kybersuojasi, sovelluksesi ja käyttöjärjestelmäsi aina ajan tasalla. Exploit Kitten avulla tapahtuva hyväksikäyttö voidaan välttää ajamalla täysin korjattua ohjelmistoa ja käyttämällä luotettavaa, päivitettyä ohjelmistoa tietoturvaratkaisu.
Sama kyberturvallisuussäännöt Käytä kuten aina – ja tietoisuus on ensimmäinen askel kohti kyberturvallisempaa elämää.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.welivesecurity.com/en/malware/malware-hiding-in-pictures-more-likely-than-you-think/
