Niektoré obrázky v sebe skrývajú viac, než sa na prvý pohľad zdá – za ich naoko nevinnou fasádou môže číhať zlovestná hrozba. Keďže bezpečnostný softvér dokáže už pomerne dobre odhaliť podozrivé súbory a firmy si čoraz viac uvedomujú potrebu zvýšiť svoje kybernetické zabezpečenie pomocou ďalších vrstiev ochrany, útočníci sa pri šírení infekcie musia uchyľovať k rôznym úskokom, aby sa vyhli detekcii. V podstate každý bezpečnostný softvér je dostatočne výkonný na to, aby odhalil väčšinu škodlivých súborov. Útočníci preto neustále hľadajú rôzne spôsoby, ako sa vyhnúť detekcii, a medzi ne patrí aj malvér ukrytý v obrázkoch alebo fotkách.
Malvér ukrytý v obrázkoch
Môže to znieť ako pritiahnuté za vlasy, ale taká je realita. Malvér vložený do obrázkov rôznych formátov je výsledkom steganografie, techniky ukrývania údajov do súborov s cieľom zabrániť ich detekcii. Výskumní pracovníci spoločnosti ESET si všimli, že túto techniku používa kybernetická špionážna skupina Worok, ktorá ukryla škodlivý kód do obrázkových súborov, pričom na jeho následné extrahovanie využila len špecifické informácie o pixeloch. Chceme však upozorniť, že systémy, na ktorých k tomuto útoku došlo, už boli kompromitované, pretože ako bolo spomenuté vyššie, ukrývanie malvéru vnútri obrázkov je skôr o vyhýbaní sa detekcii než o získaní prvotného prístupu.
So škodlivými obrázkami sa najčastejšie stretnete na webových stránkach alebo v rôznych dokumentoch. V tejto súvislosti sa môže niektorým vybaviť aj advér: kód ukrytý v reklamných baneroch. Samotný kód, kým je vložený do obrázka, sa nemôže sám spustiť ani extrahovať. Na to je potrebný ďalší malvér. Miera nevyhnutnej interakcie zo strany používateľa je rôzna a pravdepodobnosť, že si niekto všimne škodlivú aktivitu, zrejme viac závisí od kódu, ktorý má na starosti extrakciu, než od samotného obrázka.
Najmenej významné bity s najväčším dosahom
Medzi najprefíkanejšie spôsoby, ako vložiť škodlivý kód do obrázka, je nahradiť najmenej významný bit každej hodnoty RGBA (red-green-blue-alpha) každého pixela jedným malým kúskom správy. Ďalšou technikou je vložiť kód do alfa kanála obrázka (označujúceho nepriehľadnosť farby), pričom sa použije len jeho pomerne zanedbateľná časť. Vďaka tomu vyzerá obrázok viac‑menej rovnako ako regulárny obrázok, takže je ťažké voľným okom spozorovať akýkoľvek rozdiel.
Príkladom z minulosti bola situácia, keď legitímne reklamné siete zobrazovali reklamy, ktoré potenciálne viedli na škodlivý baner odoslaný z napadnutého servera. Z baneru bol extrahovaný kód JavaScript, ktorý využíval zraniteľnosť CVE‑2016‑0162 v niektorých verziách prehliadača Internet Explorer na získanie ďalších informácií o cieli.
Hoci sa oba obrázky zdajú rovnaké, jeden z nich obsahuje škodlivý kód ukrytý v alfa kanáli pixelov. Všimnite si, že obrázok vpravo je zvláštne rozpixelovaný.
(Zdroj: výskum spoločnosti ESET)
Škodlivé kódy extrahované z obrázkov by mohli byť použité na rôzne účely. V prípade zraniteľnosti prehliadača Explorer extrahovaný skript skontroloval, či je prehliadač spustený na monitorovanom zariadení, napríklad na počítači analytika malvéru. Ak nebol, došlo k presmerovaniu na vstupnú stránku exploit kitu. Po zneužití zraniteľnosti sa konečný škodlivý kód použil na doručenie malvéru, ako sú backdoory, bankové trójske kone, spyvér, nástroje na krádež súborov a podobne.
Zľava doprava: neškodný obrázok, obrázok so škodlivým obsahom a ten istý škodlivý obrázok so zvýrazneným škodlivým kódom
(Zdroj: výskum spoločnosti ESET)
Ako vidíte, rozdiel medzi neškodným a škodlivým obrázkom je pomerne malý. Bežnému človeku sa môže škodlivý obrázok zdať len trochu iný a v tomto prípade by sa zvláštny vzhľad dal pripísať zlej kvalite a rozlíšeniu obrázka. V skutočnosti sú však všetky tmavé pixely zvýraznené na obrázku vpravo znakom škodlivého kódu.
ESET HOME Security Essential
Komplexná digitálna ochrana. Bezstarostné platby a zabezpečenie súkromia vďaka funkciám, ako je anti-phishingová ochrana a ochrana Wi-Fi.
ESET HOME Security Premium
Zvýšte svoju ochranu pomocou nástroja Password Manager, šifrovania citlivých súborov a špičkovej detekcie hrozieb.
ESET HOME Security Ultimate
Získajte najlepší dostupný plán zabezpečenia doplnený o VPN a funkciu Čistenia metadát a buďte bez obáv.
Nie je dôvod na paniku
Teraz vás možno zaujíma, či obrázky, ktoré vidíte na sociálnych sieťach, môžu ukrývať nebezpečný kód. Treba si uvedomiť, že obrázky nahrané na webové stránky sociálnych médií sú zvyčajne značne komprimované a upravené, takže pre útočníka by bolo veľmi náročné ukryť v nich zachovaný a plne funkčný kód. Veď stačí len porovnať, ako vyzerá fotografia pred nahratím na Instagram a potom – zvyčajne sú v kvalite zreteľné rozdiely.
Čo je však dôležitejšie, malvér ukrytý v obrázkoch – skrývanie malvéru v pixeloch RGB a iné steganografické metódy môžu predstavovať nebezpečenstvo len vtedy, keď vložené údaje prečíta program, ktorý dokáže extrahovať škodlivý kód a spustiť ho v systéme. Obrázky sa často používajú na zakrytie malvéru stiahnutého z riadiacich a kontrolných serverov (C&C), aby sa útočníci vyhli detekcii bezpečnostným softvérom. V jednom prípade sa trójsky kôň s názvom ZeroT stiahol do počítačov obetí prostredníctvom infikovaných dokumentov Word priložených k e‑mailom. To však nie je to najzaujímavejšie. Spolu s ním sa stiahol aj variant trójskeho koňa pre vzdialený prístup PlugX (alias Korplug), ktorý pomocou steganografie extrahoval malvér z obrázka Britney Spears.
Inými slovami, ak ste chránení pred trójskymi koňmi, ako je ZeroT, nemusí vás toľko trápiť jeho schopnosť využívať steganografiu.
Na záver treba dodať, že úspešnosť exploitu extrahovaného z obrázkov závisí od prítomnosti zraniteľností. Ak už sú na vašich systémoch nainštalované bezpečnostné záplaty, exploit nemá šancu. Preto je dobré vždy používať aktualizované bezpečnostné riešenia, aplikácie a operačné systémy. Zneužitiu prostredníctvom exploit kitov sa dá predísť používaním softvéru s nainštalovanými záplatami a spoľahlivého, aktualizovaného bezpečnostného riešenia.
Platia rovnaké pravidlá kybernetickej bezpečnosti ako vždy a informovanosť je prvým krokom k bezpečnejšiemu životu v digitálnom svete.
Spracoval: tím ESET
Zdroj: WeLiveSecurity – Márk Szabó: Malware hiding in pictures? More likely than you think
