Системы кибербезопасности стали достаточно эффективны в обнаружении подозрительных файлов. Поскольку предприятия все больше осознают необходимость повышения уровня безопасности за счет дополнительных уровней защиты, возникла потребность в уловках, позволяющих избежать обнаружения.
По сути, любое программное обеспечение кибербезопасности обладает достаточной мощностью, чтобы обнаружить большинство вредоносных файлов. Следовательно, злоумышленники постоянно ищут разные способы избежать обнаружения, и среди этих методов есть использование вредоносного ПО, скрытого в изображениях или фотографиях.
Вредоносное ПО скрывается в изображениях
Это может звучать невероятно, но это вполне реально. Размещение вредоносного программного обеспечения (ПО) внутри изображений различных форматов является результатом стеганографии – техники скрытия данных внутри файла во избежание обнаружения. Исследователи ESET обнаружили, что этот метод используется группой кипершпионажа Worok, которая скрывала вредоносный код в файлах изображений, извлекая из них информацию об определенных пикселях для выполнения загрузки вредоносного кода. Однако стоит учесть, что это делалось на уже скомпрометированных системах, поскольку, как было упомянуто ранее, скрытие вредоносного ПО внутри изображений скорее направлено на обход обнаружения, чем на первоначальный доступ.
Чаще всего вредоносные изображения размещаются на веб-сайтах или встраиваются в документы. Некоторые, возможно, помнят рекламное ПО: код, спрятанный в рекламных баннерах. Сам по себе код в изображении не может быть запущен, выполнен или извлечен, пока он встроен. Для извлечения вредоносного кода и его запуска необходимо доставить еще одну вредоносную программу. Здесь уровень необходимого участия пользователя различается, и вероятность заметить вредоносную активность выглядит более зависимой от кода, который занимается извлечением, чем от самого изображения.
Наименее (наиболее) значимый бит(ы)
Один из более коварных способов внедрения вредоносного кода в изображение заключается в замене наименее значимого бита каждого значения красного, зеленого, синего и альфа-канала (RGBA) каждого пикселя на небольшую часть сообщения. Другой метод – внедрение чего-либо в альфа-канал изображения (обозначающий прозрачность цвета), используя только относительно незначительную его часть. Таким образом, изображение выглядит более или менее таким же, как обычное, делая любые различия трудноуловимыми для глаза.
Примером этого был случай, когда легитимные рекламные сети размещали объявления, которые потенциально могли привести к отправке вредоносного баннера со скомпрометированного сервера. Из баннера был извлечен код JavaScript, используя уязвимость CVE-2016-0162 в некоторых версиях браузера Internet Explorer, для получения большего количества информации о цели
(Источник: исследование компании ESET)
Вредоносные данные, извлеченные из изображений, могут быть использованы в различных целях. В случае с уязвимостью Explorer извлеченный скрипт проверял, запущен ли он на отслеживаемой машине – например, у аналитика вредоносного ПО. Если нет, то он перенаправляется на страницу с набором эксплойтов. После эксплуатации последняя полезная нагрузка использовалась для доставки вредоносных программ, таких как бэкдоры, банковские трояны, шпионское ПО, похитители файлов и тому подобное.
Как видите, разница между чистым и вредоносным изображением невелика. Для обычного человека вредоносное изображение может выглядеть немного иначе, и в этом случае странный вид можно списать на плохое качество и разрешение изображения, но реальность такова, что все эти темные пиксели, выделенные на изображении справа, являются признаком зловредного кода.
Для паники причин нет
Тогда вам может быть интересно, могут ли изображения, которые вы видите в социальных сетях, содержать опасный код. Учтите, что изображения, загружаемые на сайты социальных сетей, обычно сильно сжаты и модифицированы, поэтому злоумышленнику будет весьма проблематично скрыть в них полностью сохранившийся и работающий код. Возможно, это становится очевидным, если сравнить, как выглядит фотография до и после загрузки ее в Instagram – обычно есть явные различия в качестве.
Что наиболее важно, методы скрытия данных в пикселях RGB и другие стеганографические методы могут представлять опасность только тогда, когда скрытые данные считываются программой, которая может извлечь вредоносный код и выполнить его в системе. Изображения часто используются для скрытия вредоносного ПО, загруженного с серверов управления и контроля (C&C), чтобы избежать обнаружения программным обеспечением кибербезопасности. В одном случае на компьютеры жертв был загружен троян под названием ZeroT через зараженные документы Word, прикрепленные к электронным письмам. Однако это не самое интересное. Интересно то, что он также загрузил вариант PlugX RAT (он же Korplug), использующий стеганографию для извлечения вредоносного ПО из изображения Бритни Спирс.
Другими словами, если вы защищены от троянов, подобных ZeroT, вам не нужно особо беспокоиться об использовании им стеганографии.
В конечном счете, любой эксплойт, извлекаемый из изображений, зависит от наличия уязвимостей для успешной эксплуатации. Если ваши системы уже обновлены, эксплойт не сработает; поэтому рекомендуется всегда поддерживать в актуальном состоянии вашу киберзащиту, приложения и операционные системы. Эксплуатации с помощью наборов эксплойтов можно избежать, используя полностью обновленное программное обеспечение и надежное, обновленное решение безопасности.
Применяются те же правила кибербезопасности, что и всегда, и осведомленность является первым шагом на пути к более кибербезопасной жизни.
