Twitter позволяет прятать вирусы в публикуемых картинках

Мар 19, 2021 80

Недоочищенная стеганография

Эксперт по безопасности Дэвид Бьюкенен (David Buchanan) обнаружил способ прятать в изображения в Twitter целые файлы ZIP и MP3 размером до 3 МБ. Эксплуатация такой уязвимости
потребует некоторых усилий, но в целом это весьма серьезный вектор атаки.

Стеганография, то есть интегрирование
в цифровые изображения дополнительные элементы, вплоть до программного кода —
явление нередкое. Однако в социальных сетях, как правило, есть свои инструменты
очистки изображений от всего постороннего. Но в данном случае они работают не
совсем так, как следовало бы.

Бьюкенену удалось продемонстрировать
это на практике. В своем аккаунте в Twitter он разместил ряд изображений, которые содержали
заархивированные файлы с программным кодом внутри, и даже аудиозапись в формате
MP3. Для
пользователей Twitter это будут обычные, легко читаемые изображения. Однако если скачать файл с
оригиналом изображений, а затем просто заменить расширение (с PNG на ZIP или MP3), то станет доступным скрытое содержимое — архив
или аудиозапись.

Twitter позволяет прятать в изображениях архивы и музыку

По словам Бьюкенена, Twitter сжимает изображения
при загрузке и пытается вычистить все несущественные метаданные. Однако если
попытаться добавить нужные данные в часть файла после потока Deflate (т. е. в той части
файла, где хранятся сжатые данные о пикселях), Twitter их не удаляет.

Бьюкенен опубликовал
исходный код утилиты, позволяющей генерировать гибридные файлы PNG. Ключевая оговорка
состоит в том, что такие гибриды, опубликованные в Twitter, срабатывают только при условии, что их
получатель скачивает полноразмерное изображение, а не миниатюру.

Заманчивый вектор

Тем не менее, это формирует
весьма заманчивый вектор для кибератак, хотя, по признанию Бьюкенена, существуют
и куда более практичные методы использования стеганографии.

«Не думаю, что этот метод
особенно полезен для злоумышленников: более традиционные методы стеганографии
проще реализовать, и они еще более скрытны», — заметил он.

Методика, продемонстрированная
Бьюкененом, может использоваться не только для прямой загрузки вредоносов на
пользовательские компьютеры, но и для обмена данными между вредоносами и
управляющими ими серверами. Об этом заявил сам эксперт.

Ранее он представил еще
один похожий трюк: спрятал в JPG-миниатюре, опубликованной в Twitter, все литературное наследие Уильяма Шекспира. Администрация
сервиса тогда заявила, что никакой проблемы в этом не усматривает. Поэтому о
своем нынешнем открытии Бьюкенен просто не стал сообщать сервису приватно,
сразу опубликовав всю информацию в общем доступе.

На днях издание Bleeping Computer также сообщило об
обнаружении нового метода вывода данных кредитных карт из скомпрометированных
онлайн-магазинов Magento — внутри JPG-изображений, которые просто загружались на зараженный веб-сайт и уже
оттуда выкачивались, не вызывая никакой реакции у защитных систем.

«Существование более
практичных методов не означает, что этот не будут использовать на практике, —
считает Дмитрий Кирюхин, эксперт по
информационной безопасности компании SEC Consult Services. — Тем более, что
защититься от таких атак будет сложновато — для защитных систем это просто
стандартные файлы изображений PNG, пока у них не сменится расширение. Остается
надеяться, что Twitter примет дополнительные меры и будет тщательнее проверять
загруженные пользователями изображения на предмет посторонних данных в них».