web-dev-qa-db-ja.com

ステガノを含む画像ファイルは、どこかに保存されたときにマルウェアになる可能性がありますか?

広告バナーでアクティブなマルウェアに関する記事を読んでいましたが、一部の設定が設定されたIEブラウザを備えたシステムに限定されていました。

バナーピクセルに攻撃コードを隠したマルバタイジングにさらされた数百万人

ウイルス対策プロバイダーのEsetの研究者は、キャンペーンと名付けた「Stegano」は2014年にさかのぼると述べています。10月初旬から、その異常にステルスなオペレーターは、名前のないさまざまな評判の良いニュースサイトに広告を表示することで、大きなクーデターを記録しました。それぞれに数百万の毎日の訪問者がいます。少なくとも紀元前440年にさかのぼるより大きな文書内に秘密のメッセージを隠す慣行であるWordステガノグラフィから借用して、Steganoは、バナー広告の表示に使用されるピクセルの透明度を制御するパラメーターに悪意のあるコードの一部を隠します。攻撃コードは画像の色調や色を変更しますが、その変更は訓練を受けていない目にはほとんど見えません。

隠されたペイロードを実行するために、悪意のある広告は、Webサイトのトラフィックを測定するためのオープンソースパッケージであるCountlyの大幅に変更されたバージョンをロードします。そのJavaScriptは、画像から非表示のコードを抽出して実行します。 JavaScriptにはそれ自体悪意のあるものは何もないため、広告ネットワークは何が起こっているのかを検出できません。

インターネット接続がオンラインのときに、HDに保存されたjavascript(または他の)-steganoファイルがアクティブになる可能性はありますか?

2
Tech-IO

ファイルは本質的に危険ではありません。このような攻撃ファイルは、実行する必要のあるプログラムであるか、別のプログラムにデータとしてロードされたときにそのプログラムの問題を利用します。

あなたの記事から:

隠されたペイロードを実行するために、悪意のある広告は、Webサイトのトラフィックを測定するためのオープンソースパッケージであるCountlyの大幅に変更されたバージョンをロードします。そのJavaScriptは、画像から非表示のコードを抽出して実行します。

つまり、画像には小さなJavaScriptプログラムが含まれています。このプログラムは、広告ネットワークがWebページに配置するコードによって抽出および実行され、そのWebページを表示するとブラウザで実行されます。

画像がハードドライブに置かれているだけの場合、何も起こりません。画像エディタで開いても何も起こりません。 実行するする必要があります。

現在、マルウェアの多くは画像表示ソフトウェアやオーディオプレーヤーなどの脆弱性を利用するため、疑わしいファイルを開くことは一般的に安全ではありません。 Webブラウザがエクスプロイトを実行する唯一の方法であることを意味するわけではありません。同様に、マルウェアは、OSが自動的に実行するように、マシンの「起動時に実行」リストに自分自身を追加しようとすることがよくあります。しかし、この特定のケースでは、エクスプロイトはブラウザを介して実行されているようです。

とにかく、それが実行されるとき、エクスプロイトはそれが望むことを(多かれ少なかれ)行うことができるので、はい、それは有効なネットワーク接続の存在をチェックすることができます。これは、脆弱性チェック環境で実行されているかどうかを判断するために一連のチェックを実行すると言われています。これらは、外部サーバーにアクセスできるかどうかをチェックするよりもはるかに高度です。しかし、繰り返しになりますが、これはrunningの場合にのみ発生する可能性があります。

両方とも有効な画像ファイルである「ポリグロット」ファイルを持つことは可能ですが、 悪意のあるコードも埋め込まれています 。また、メタデータまたはファイル自体の「データ」部分に埋め込まれた特定の属性を持つファイルを読み取ることによってトリガーされる特定のアプリケーションに欠陥がある可能性があります。

最終的には、ファイルを何らかの方法で実行または表示する必要があります。ファイルシステム上にあるだけの画像ファイルは単独では実行されませんが、ウイルス対策、検索インデックスアプリケーション、またはファイルを表示または実行しようとするその他のプロセスによってファイルがスキャンされるときに、エクスプロイトコードが実行される可能性があります。

ブラウザがファイルをダウンロードしているのではなく、悪意のある画像ファイルがブラウザによって実行されているのです。

0
Eric G