Вирусы и графика: стеганография, как метод доставки вредоносного ПО в систему

На днях исследователи компании Cisco Talos обнаружили в ПО для работы с PDF-файлами Able2Extract Professional уязвимости, позволяющие выполнять код в системе через графические файлы в формате JPEG или BPM. Если пользователь откроет полученные картинки в ПО Able2Extract Professional, то скрытые в них команды будут записаны за пределами выделенной приложению области памяти (ОЗУ) и смогут выполнить любую команду внутри атакуемой системы. На настоящий момент выпущен патч для описанной уязвимости. Но эта новость демонстрирует не угасающий интерес злоумышленников к стеганографии, как методу доставки вредоносного ПО в систему.

Стеганография – это сокрытие полезной нагрузки внутри произвольного контейнера. С точки зрения информационной безопасности, наиболее опасным ее вариантом является сокрытие внутри графических файлов. 

Почему это так опасно?

  • Сложное детектирование. Не все антивирусные средства и anti-APT «песочницы» поддерживают анализ графических файлов, а сами алгоритмы детектирования имеют выборочную эффективность. 

  • Высокая привлекательность для жертвы. Пользователи чаще реагируют на яркие визуальные образы и не задумываясь скачивают картинки с внутренней уверенностью, что это безопасно.

Как это работает? 

Графический файл обладает большой глубиной доставки информации. Каждый пиксель – это набор параметров, и следовательно, набор битов.  Человеческое восприятие не такое глубокое, поэтому некритичное изменение бита не будет замечено при воспроизведении. Следовательно, часть бита может быть использована для доставки кода или текста. Полезная нагрузка может быть раскрыта загрузчиком, обрабатывающем полученный медиа-контент (как в примере с Able2Extract Professional), или использовать уязвимость в ПО.

Стеганография также позволяет скрыть вредонос в аудио- или видеофайле. Например, вирусы Turla, майнер Monero (XMR). DNS-туннелирование тоже своего рода стеганография, так как происходит сокрытие кода в DNS запросе.


Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах