Il malware può essere collegato a un'immagine?

49

Ho un piccolo numero di dipendenti che usano un computer aziendale ma queste persone non sono molto esperti di tecnologia. Utilizzano un client di posta elettronica e un client di messaggistica.

Sono abbastanza sicuro che non farebbero clic su file .exe o .zip in una e-mail senza pensare, e so che questa è un'area di preoccupazione.

Tuttavia, sto pensando alle immagini. Infatti, indipendentemente da quanto sia capace una persona con la tecnologia, credo che legare cose (codice o qualsiasi altra cosa) a un'immagine possa essere un rischio per la sicurezza.

Che cosa può essere allegato alle immagini per danneggiarne un altro?

Credo che le immagini possano rappresentare un rischio per la sicurezza perché "eseguono automaticamente" o qualcosa del genere.

Ci sono tanti modi in cui le immagini possono essere ricevute da un computer (incluso telefono o tablet, ovviamente):

- email
- iMessage (or any other messaging app)
- someone right-clicking and saving an image from a web page
- just viewing a web page of course downloads the image to cache

Quali precauzioni devo prendere per quanto riguarda le quattro cose di cui sopra? Qualcuno può semplicemente attaccare un codice ad un'immagine e viene eseguito?

Che cosa devo fare per evitare che le immagini vengano utilizzate contro i miei computer?

Suppongo che non sia possibile allegare il codice a un'immagine e iMessage all'iPhone di qualcuno. Che mi dici di Android?

    
posta user2143356 07.04.2014 - 23:39
fonte

9 risposte

73

Le altre risposte parlano principalmente di allegare codice arbitrario alle immagini tramite tecniche steganografiche, ma questo non è molto interessante in quanto richiede che l'utente sia complice nell'estrarre ed eseguire quello. L'utente può semplicemente eseguire codice dannoso direttamente se questo è il loro obiettivo.

In realtà ti interessa sapere se esiste una possibilità di esecuzione di codice inaspettata e arbitraria durante la visualizzazione di un'immagine. E sì, c'è una tale possibilità che un attaccante costruisca un'immagine malevola (o qualcosa che sostiene di essere un'immagine) che si rivolge a specifiche implementazioni di visualizzazione di immagini con difetti noti. Ad esempio, se un visualizzatore di immagini assegna un buffer e calcola la dimensione del buffer necessaria da un calcolo naive width * height * bytes_per_pixel , un'immagine dannosa potrebbe riportare dimensioni sufficientemente grandi da causare l'overflow del calcolo precedente, causando quindi al visualizzatore di allocare un buffer più piccolo di previsto, consentendo quindi un attacco di overflow del buffer quando i dati vengono letti in esso.

Esempi specifici:

In generale, questo tipo di cose è difficile da proteggere. Alcune cose che puoi fare:

  • Tieni aggiornati i tuoi sistemi e applicazioni.
  • Abilita DEP .
  • Abilita ASLR se possibile.
  • Evita di eseguire programmi con privilegi amministrativi.
  • In Windows, EMET di Microsoft potrebbe anche fornire una certa protezione.
risposta data 08.04.2014 - 03:58
fonte
11

Sì, ci sono modi per "sfruttare" i buffer overflow.

A volte il codice potrebbe dover essere eseguito tramite uno script separato e in teoria è possibile assemblare un virus da più immagini che contengono codice nascosto all'interno dell'immagine utilizzando la stenografia, ma esistono modi più semplici.

Fondamentalmente molti sistemi informatici si aspettavano che le immagini rispettassero le specifiche esatte per il tipo e il range corretto non è riuscito a controllare i formati / parametri che sono stati passati.

Mediante 'ingegnerizzare' un'immagine in modo che esternamente appaia come conforme ma internamente non lo fa, sarebbe stato possibile attivare sovraccarichi di buffer / danneggiamento dello stack che consentirebbero il codice nascosto in un'immagine da eseguire sotto l'autorità di l'utente.

Ma nota che questo non si applica SOLO alle immagini, può applicarsi a QUALSIASI file, dai un'occhiata al recente exploit RTF in MS Word.

    
risposta data 08.04.2014 - 02:43
fonte
7

Puoi sempre nascondere file / programmi / qualsiasi cosa nello "spazio allentato" di qualsiasi file. Quindi puoi eseguire uno script in un secondo momento per estrarre e / o compilare ciò che hai nascosto ... Ad esempio, potresti incorporare un eseguibile dannoso (o uno script più piccolo) all'interno di più immagini su un sito web. Quando un utente accede al sito Web, scarica le immagini.

Ulteriori informazioni su Slack Space qui: link e poi giocaci da solo afferrando un editor esadecimale ( link ) e un pasticcio.

    
risposta data 07.04.2014 - 23:48
fonte
3

Per quasi tutti i formati di file, i programmi che lo leggono potrebbero avere alcuni bug sfruttabili da un file pericoloso.

Può succedere (ed è successo) anche per le immagini; ma generalmente è limitato a un singolo programma (o libreria) specifico che lo legge, non a una "immagine con malware" generale che attacca tutti questi programmi.

Anche i file di testo non sono teoricamente sicuri se i programmi cercano di fare qualcosa di interessante con loro. Un'iniezione sql in un post di commento sul blog è essenzialmente "malware allegato al testo"; c'era una vulnerabilità in Python che consentiva crash (= denial of service) inviando dati di testo dannosi e sostenendo che è nella codifica UTF-7, sfruttando un bug in quel decodificatore; e esistono attacchi basati sulla rottura dei parser XML da parte di, ancora, dati dannosi vicini al testo.

    
risposta data 08.04.2014 - 10:55
fonte
1

Sì, è possibile nascondere il malware in un'immagine. Non è un attacco molto comune, ma recentemente sembra che gli autori di malware inizino a nascondere il malware all'interno delle immagini.

L'analisi del malware non è la mia cosa. se desideri maggiori informazioni cerca " malware di Steganography " .

Un consiglio è di non aprire e-mail da fonti non sicure / sconosciute.

    
risposta data 08.04.2014 - 00:01
fonte
1

Gli exploit sono solo questo, exploit. Qualcuno trova una vulnerabilità in un codice ampiamente utilizzato e poi si mette in condizione di porre le basi per quella vulnerabilità per fare la sua cosa. Facciamo finta per esempio che qualcuno là fuori abbia capito che un client di posta elettronica ampiamente utilizzato ha un bug che porta a un overflow del buffer in alcune circostanze specifiche. Se nel buffer vengono inviati abbastanza dati non validi, si sovrappone allo stack. Ora puoi scattare un'immagine malformata esattamente come deve essere per causare l'overflow del buffer, incorporare alcuni malware e riempire la fine dei dati con un mucchio di NOP e poi una routine di assemblaggio intelligente che viene scaricata sul stack, che quando viene eseguito punta direttamente sul malware già caricato in memoria nel buffer di immagini. Tutto ciò che un utente deve fare per essere infetto è visualizzare l'immagine non corretta nell'applicazione vulnerabile. Questo è un canale di attacco più comune in exploit zero-day altamente specifici.

I rimedi a questi problemi sono fortunatamente facili da applicare. Configurare le macchine per consentire solo messaggi di testo normale. Assicurati di utilizzare solo software ben mantenuto e applica tutti gli aggiornamenti automaticamente.

    
risposta data 08.04.2014 - 06:53
fonte
1

Ci sono programmi chiamati binder che normalmente collegheranno un eseguibile a un'immagine. I malware che si trovano nelle immagini tendono ad essere RAT (Remote Administration Tools), che sono alcuni elementi skid che alcuni skid useranno per accedere al tuo computer. Normalmente questo è usato solo su siti web dove gli idioti cornea parlano con questi pattini, e gli skid fingono di essere una ragazza e dicono loro di scaricare un'immagine. Personalmente penso che ci siano modi molto migliori per diffondere le cose, inoltre la maggior parte degli antivirus dovrebbe rilevare questi "binding" anche se il virus è FUD (completamente non rilevato).

    
risposta data 08.04.2014 - 17:03
fonte
1

Il messaggio di testo normale è che quando il client di posta legge solo testo in chiaro, nessuno degli script potenzialmente pericolosi o nascosti verrà interpretato o eseguito affatto. Sarà solo una stringa per il client di posta.

    
risposta data 12.04.2014 - 08:17
fonte
0

C'è un esempio di una vulnerabilità descritta qui: esecuzione di codice completo su sistemi Windows, se javascript era abilitato = > SVG SNAFU .

Info:

Joshua Yabut, another researcher who also analyzed the code, told Ars it exploits a so-called use-after-free bug that requires JavaScript to be enabled on the vulnerable computer. Yabut went on to say the code is "100% effective for remote code execution on Windows systems." The exploit code, the researcher added, adjusts the memory location of the payload based on the version of Firefox being exploited. The versions span from 41 to 50, with version 45 ESR being the version used by the latest version of the Tor browser. The adjustments are an indication that the people who developed the attack tested it extensively to ensure it worked on multiple releases of Firefox. The exploit makes direct calls to kernel32.dll, a core part of the Windows operating system. Source

    
risposta data 07.06.2017 - 21:50
fonte

Leggi altre domande sui tag