聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
摘要
昨天研究员 David Buchanan发现了一种可在推特图像中隐藏3MB大小数据的方法。在演示中,他展示了托管在推特尚的 PNG 图像中所包含的 MP3 音频文件和 ZIP 文档。
尽管将非图像数据隐藏在图像(隐写术)的方法已不新鲜,但图像可被托管在流行网站如推特且并未清理的事实,存在遭恶意人员滥用的可能性。
会唱歌的图像
昨天,研究员兼程序员 David Buchanan 在自己的推特上附加了示例图像,内部含有整个 ZIP 文档和 MP3 文件。尽管托管在推特上的 PNG 附件在预览时被认为合法图像,但秩序下载并更改其文件扩展就足以获取同样文件的不同内容。
BleepingComputer 发现,Buchanan 所发布的6KB大小的图像中包含整个 ZIP 文档。该 ZIP 文档中包含 Buchanan 的源代码,任何人皆可用它将庞大的内容压缩到 PNG 图像中。另外,他还在 GitHub 上发布了可生成 tweetable-polyglot-png 文件的源代码。
在上传到推特上的另外一个示例中,Buchanan 还发送了可唱歌的图像。他指出,“下载这个图像并更名为 .mp3,并在 VLC 中打开,你就会收获一个惊喜(注:确保下载该文件的完整高清版本:2048x2048px)。”
BleepingComputer 测试后发现,加载在推特图像服务器中的图片大概是2.5MB 大小,可以 “.mp3” 扩展保存。打开后,已变为 MP3 的图片文件就会播放 Rick Astley 演唱的歌曲 “Never Gonna Give You Up”。
Buchanan 解释称,“推特大多数时候确实会压缩图像,但在某些场景下并不会这么做。推特还尝试删掉不重要的元数据,因此任意现有的 “polyglot file” 技术将不起作用。我发现的新技巧是,可以将数据附加在 ‘DEFLATE’ 流(存储已压缩像素文件的部分文件)末尾,这样推特就不会删除了。”
可遭隐蔽的威胁者滥用
隐写术常常被隐秘的威胁行动者利用,从而在看似普通的文件如图像中隐藏恶意命令、payload和其它内容。就在最近,网络犯罪分子就将被盗的信用卡数据隐藏在 JPG 图像中。
推特可能并不总是删除图像中无关信息的事实可能会使该平台遭恶意滥用。此外,更加剧这种挑战的地方在于,拦截推特图像流量可能会影响合法操作。例如拦截推特图像域名 pbs.twimg.com 的网络管理员也可使托管在推特上的合法图像遭拦截。
尽管如此,Buchanan 认为自己的 PNG 图像 PoC 技术本身可能不会发挥什么作用,因为可用的隐写术还有很多,“我认为这种技术对于攻击者而言用处不大,因为更传统的图像隐写术技术更容易执行(甚至更加隐秘)。”
然而,Buchanan 所展示的 PNG 技术可遭恶意软件滥用于命令和服务活动,“向受感染主机传播恶意文件”。同样,由于网络监控系统可能认为推特是安全主机,使用这类图像文件传播恶意软件的做法仍然是绕过安全计划的有效方法。
未向推特报告
Buchanan 指出,之前将基于 JPEG 的问题告知推特,但后者回复称并非安全漏洞,因此这个漏洞并未报告给推特。2018年,Buchanan 曾在推特上公布了一个微小的 JPG 拇指文件但内含非常庞大的《莎士比亚全集》。此前,攻击者还滥用其它合法服务如 Imgur 托管图像,之后被用于计算恶意 Cobalt Strike payload。
目前推特尚未就此事置评。
推荐阅读
参考链接
https://www.bleepingcomputer.com/news/security/twitter-images-can-be-abused-to-hide-zip-mp3-files-heres-how/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
