Программы кибербезопасности стали довольно хорошо справляться с обнаружением подозрительных файлов, и поскольку компании все больше осознают необходимость повышения уровня своей безопасности с помощью дополнительных слоев защиты, уловки для обхода обнаружения стали необходимостью.
По сути, любое программное обеспечение для кибербезопасности достаточно надежно, чтобы обнаруживать большинство вредоносных файлов. Поэтому злоумышленники постоянно ищут разные способы обойти обнаружение, и среди этих методов — использование вредоносного ПО, скрытого в изображениях или фотографиях.
Вредоносный код в изображениях
Это может звучать надуманно, но это вполне реально. Вредоносный код, помещенный внутрь изображений различных форматов, является результатом стеганографии — техники скрытия данных внутри файла для избежания обнаружения. ESET Research заметила, что эту технику использовала группа кибершпионажа Worok, которая скрывала вредоносный код в файлах изображений, извлекая из них только определенную информацию о пикселях для получения полезной нагрузки для выполнения. Имейте в виду, что это делалось уже на скомпрометированных системах, поскольку, как упоминалось ранее, сокрытие вредоносного ПО внутри изображений — это больше об обходе обнаружения, чем о первичном доступе.
Чаще всего вредоносные изображения доступны на веб-сайтах или помещаются в документы. Некоторые могут помнить рекламное ПО: код, скрытый в рекламных баннерах. Сам по себе код в изображении не может быть запущен, выполнен или извлечен, пока он встроен. Должно быть доставлено другое вредоносное ПО, которое отвечает за извлечение вредоносного кода и его запуск. Здесь требуемый уровень взаимодействия с пользователем варьируется, и вероятность того, что кто-то заметит вредоносную активность, кажется, больше зависит от кода, связанного с извлечением, чем от самого изображения.
Наименее (наиболее) значимые биты
Один из самых хитрых способов встраивания вредоносного кода в изображение — это замена наименее значимого бита каждого значения красного-зеленого-синего-альфа (RGBA) каждого пикселя небольшой частью сообщения. Другой метод — встраивание чего-либо в альфа-канал изображения (обозначающий непрозрачность цвета), используя только относительно незначительную часть. Таким образом, изображение выглядит более или менее так же, как обычное, что затрудняет обнаружение каких-либо различий невооруженным глазом.
Примером этого было то, что легитимные рекламные сети показывали объявления, которые потенциально вели к отправке вредоносного баннера с скомпрометированного сервера. JavaScript-код извлекался из баннера, используя уязвимость CVE-2016-0162 в некоторых версиях Internet Explorer, для получения дополнительной информации о цели.
Может показаться, что обе картинки одинаковы, но одна из них содержит вредоносный код в альфа-канале своих пикселей. Обратите внимание, как картинка справа выглядит странно пикселизированной.
(Источник: ESET Research)
Вредоносные полезные нагрузки, извлеченные из изображений, могут использоваться для различных целей. В случае уязвимости Explorer извлеченный скрипт проверял, выполняется ли он на отслеживаемой машине — например, аналитика вредоносного ПО. Если нет, то он перенаправлялся на целевую страницу набора эксплойтов. После эксплуатации для доставки вредоносного ПО, такого как бэкдоры, банковские трояны, шпионское ПО, похитители файлов и тому подобное, использовалась окончательная полезная нагрузка.
Как видите, разница между чистым и вредоносным изображением довольно мала. Для обычного человека вредоносное изображение может выглядеть немного иначе, и в этом случае странный вид можно списать на плохое качество изображения и разрешение, но реальность такова, что все эти темные пиксели, выделенные на картинке справа, являются признаком злонамеренного кода.
Нет причин для паники
Возможно, вы задаетесь вопросом, могут ли изображения, которые вы видите в социальных сетях, содержать опасный код. Учтите, что изображения, загружаемые на сайты социальных сетей, обычно сильно сжимаются и изменяются, поэтому злоумышленнику было бы очень сложно скрыть полностью сохраненный и работающий код в них. Это, вероятно, очевидно, если сравнить, как фотография выглядит до и после загрузки в Instagram — обычно есть явные различия в качестве.
Самое главное, сокрытие пикселей RGB и другие стеганографические методы могут представлять опасность только тогда, когда скрытые данные считываются программой, которая может извлечь вредоносный код и выполнить его в системе. Изображения часто используются для сокрытия вредоносного ПО, загруженного с серверов управления и контроля (C&C), чтобы избежать обнаружения программами кибербезопасности. В одном случае троян под названием ZeroT, через зараженные документы Word, прикрепленные к электронным письмам, был загружен на машины жертв. Однако это не самая интересная часть. Интересно то, что он также загрузил вариант RAT PlugX (он же Korplug), используя стеганографию для извлечения вредоносного ПО из изображения Бритни Спирс.
Другими словами, если вы защищены от троянов, таких как ZeroT, то вам не нужно так сильно беспокоиться об использовании им стеганографии.
Наконец, любой эксплойт-код, извлеченный из изображений, зависит от наличия уязвимостей для успешной эксплуатации. Если ваши системы уже обновлены, у эксплойта нет шансов сработать; следовательно, всегда полезно поддерживать вашу киберзащиту, приложения и операционные системы в актуальном состоянии. Эксплуатации с помощью наборов эксплойтов можно избежать, запуская полностью обновленное программное обеспечение и используя надежное, обновленное решение для обеспечения безопасности.
Применяются те же правила кибербезопасности, что и всегда — и осведомленность является первым шагом к более безопасной кибержизни.
