Παρασκευή, 24 Νοέμβριος 2017, 6:49 μμ

Stegosploit: ενσωμάτωση malware σε αρχεία εικόνων

Stegosploit: ενσωμάτωση κακόβουλου λογισμικού σε αρχεία εικόνων

Ας υποθέσουμε ότι είστε online για 5 λεπτά και επισκέπτεστε μερικές ιστοσελίδες για να διαβάσετε ειδήσεις. Πόσες εικόνες θα δείτε; Μάλλον εκατοντάδες. Να, λοιπόν, ένα μέσο που θα μπορούσαν να χρησιμοποιήσουν οι κυβερνοεγκληματίες για να πραγματοποιήσουν επιτυχημένες επιθέσεις στο μέλλον. Θέλετε να μάθετε περισσότερα για το Stegosploit;

Ο ερευνητής Saumil Shah της Net Square παρουσίασε πρόσφατα, κατά τη διάρκεια του Hack In The Box στο Άμστερνατμ, μια επικαιροποιημένη έκδοση της έρευνάς του πάνω στην «ψηφιακή στεγανογραφία» (digital steganography), όπου αναφέρθηκε στην έννοια του Stegosploit. Στην πράξη, πρόκειται για ενσωμάτωση εκτελέσιμου κώδικα JavaScript σε μια εικόνα, και μόλις αυτή η εικόνα εμφανιστεί στο browser, τότε στη συσκευή του χρήστη θα «κατεβαίνει» και θα εγκαθίσταται αυτόματα κακόβουλο λογισμικό.

Το κακόβουλο αυτό λογισμικό θα μπορούσε να έχει οποιαδήποτε μορφή και να στοχεύει σε διαφόρων ειδών δεδομένα, όπως κωδικούς πρόσβασης, προσωπικές πληροφορίες, στοιχεία σχετικά με τραπεζικές συναλλαγές, αρχεία εικόνας, βίντεο και ήχου. Και το χειρότερο είναι ότι τα λογισμικά anti-virus δεν έχουν, επί του παρόντος τη δυνατότητα να ανιχνεύσουν μια τέτοια «επίθεση».

Τι είναι η «στεγανογραφία»;

Η έννοια δεν είναι καινούργια. Αναφερόμαστε σε κρυφά μηνύματα που τα συναντάμε «μεταμφιεσμένα» μέσα σε κάποιο άλλο «αντικείμενο», όπως μια εικόνα ή μια λίστα αγορών. Ακόμα και η γραφή με αόρατο μελάνι ανάμεσα σε δυο γραμμές μιας σελίδας ενός βιβλίου είναι μια μορφή στεγανογραφίας.

Η στεγανογραφία σε συνδυασμό με την κρυπτογραφία χρησιμοποιήθηκαν, στο πέρασμα του χρόνου, για την ανταλλαγή μηνυμάτων με ασφάλεια. Το πλεονέκτημα της στεγανογραφίας έναντι της κρυπτογραφίας είναι ότι το κρυφό μήνυμα δεν τραβάει την προσοχή.

Το εργαλείο Stegosploit

Ο Shah εξήγησε ότι με το εργαλείο του Stegosploit, η στεγανογραφία πάει ένα βήμα παραπέρα, αφού όχι μόνο κρύβονται μηνύματα που βλέπουμε «μπροστά στα μάτια μας», αλλά αυτό γίνεται «με στυλ»!

Αυτό που μελετά στην έρευνά του είναι η μέχρι τώρα γνωστή μέθοδος στεγανογραφίας, με την ενσωμάτωση κειμένου σε αρχεία εικόνων, να χρησιμοποιηθεί ώστε το κείμενο αυτό να μην είναι απλά «παθητικό», αλλά να μπορεί να εκτελείται, υπό τη μορφή κώδικα. Πειραματιζόμενος, το πέτυχε και μάλιστα πολλά λογισμικά προστασίας δεν ανιχνεύουν αυτού του είδους την «επίθεση».

Στο Stegosploit ο Shah χρησιμοποιεί γνωστά exploit του Chrome, του Safari, του Explorer και άλλων περιηγητών που υποστηρίζουν το HTML 5 Canvas και τα «κωδικοποιεί» μέσα σε bit layers των pixel μιας εικόνας. Αυτού του είδους τα αρχεία, που τα ονόμασε «Imajs» (από το image και το JavaScript), φορτώνονται ως JavaScript σε ένα browser, και λειτουργούν ταυτόχρονα και σαν εικόνες αλλά και σαν εκτελέσιμα αρχεία!

Stegosploit: ενσωμάτωση κακόβουλου λογισμικού σε αρχεία εικόνων 2
Εκτελέσιμος javascript κώδικας κρυμμένος στην κωδικοποίηση μιας εικόνας «ενεργοποιεί» το κατέβασμα κακόβουλου λογισμικού κατά τη φόρτωση της εικόνας στον browser

Όταν το exploit κωδικοποιείται, ανάλογα με το layer όπου ενσωματώνεται το JavaScript, η εικόνα δεν εμφανίζει την παραμικρή αλλαγή. Με την τεχνική αυτή ο εκτελέσιμος κώδικας «διαχέεται» μέσα στο αρχείο της εικόνας, δεν ανιχνεύεται από προγράμματα anti-virus. Για να εντοπιστεί, θα έπρεπε να γίνει σάρωση από το anti-virus κάθε byte της εικόνας, κάτι που θα γινόταν σε βάρος της ταχύτητας φόρτωσης.

Η τεχνική μπορεί να εφαρμοστεί τόσο σε εικόνες JPEG, όσο και PNG.

Μόλις η τεχνική αυτή γίνει ευρέως γνωστή, τότε θα προκύψει πραγματικά μεγάλο πρόβλημα για τους χρήστες του Διαδικτύου. Αν, μάλιστα, το μέγεθος του αρχείου δεν αλλάζει, τότε ένα τέτοιο αρχείο θα μπορούσε να αναρτηθεί οπουδήποτε: Facebook, Instagram, Twitter ή άλλες ιστοσελίδες κοινωνικής δικτύωσης. Έτσι, οποιοσδήποτε χρήστης απλά «έβλεπε» την εικόνα, χωρίς απαραιτήτως να κάνει κλικ σε αυτή, θα μπορούσε να εκτεθεί σε κακόβουλο λογισμικό.

Βέβαια, ακόμα, δεν υπάρχει αναφορά για χρήση αυτής της τεχνικής, αλλά δεν αποκλείεται κάτι τέτοιο να το δούμε στο άμεσο μέλλον. Αναμενόμενο είναι να υπάρξει και αντίδραση στον τομέα της «άμυνας», από τις εταιρείες που παράγουν λογισμικό προστασίας.

Ολόκληρη την παρουσίαση του Shah για το εργαλείο Stegοsploit μπορείτε να τη βρείτε εδώ.

Ας υποθέσουμε ότι είστε online για 5 λεπτά και επισκέπτεστε μερικές ιστοσελίδες για να διαβάσετε ειδήσεις. Πόσες εικόνες θα δείτε; Μάλλον εκατοντάδες. Να, λοιπόν, ένα μέσο που θα μπορούσαν να χρησιμοποιήσουν οι κυβερνοεγκληματίες για να πραγματοποιήσουν επιτυχημένες επιθέσεις στο μέλλον. Θέλετε να μάθετε περισσότερα για το Stegosploit; Ο ερευνητής Saumil…
Χρήσιμο
Ευανάγνωστο

User Rating: 4.8 ( 2 votes)
95