1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Мечты сбываются. Исполняемый код через графические расширения

Тема в разделе "Чужие", создана пользователем burkoffb, 28 фев 2014.

  1. TopicStarter Overlay
    burkoffb

    burkoffb Гость

    Ребят напишите еще кто какие методы знает

    Дифиниция:

    Не особо заморачиваясь все подгружают софт жертвам склейкой двух и более екзешников, один из которых как правило полезный или просто нужный пользователю

    Видеофайлы - как разновидность

    И всегда сколько помню четко оговаривалось exe bat и прочие (Войти или зарегистрироваться, чтобы увидеть ссылку.) расширения исполняемых фалов не будут работать при простой смене названия расширения файла исполняемого кода на графические форматы (Войти или зарегистрироваться, чтобы увидеть ссылку. по этой ссылке проще воспринимается)

    Решения:

    1. Классика - джойнер с мелтингом (хоть sfx-ом) - склеиваем с изображенем, подменяем иконку соотв. картинкой, пишем по приколу расширение типа "картинка.jpeg" (или что угодно как часть названия) при открытии запускается exe, загружается софт, картинка-фотка открывается перезаписывается заменой екзешника и сохраняется, исходный файл контейнер самоуничтожается

    но! остается все по прежнему - исходный "псевдографический" файл - .exe

    2. Даже не классика, а динозавро-спуфер-хак -сделать миллион пробелов чтоб ламер не увидел на компе exe, но это палево, название файла на компе будет "картинка.bmp" и белый пустой огромный прямоугольник (где .exe просто выйдет за область отображения) как часть отображения названия файла - любого испугает, но это непосредственно на компе, а при закачке проге пофиг - она покажет истинное расширение закачиваемого файла!

    3. (Новое!) Метаданные в файле PNG позволяют внедрять iFrame

    Исследователи обнаружили сравнительно новый путь распространения зловредов, который основывается на коде JavaScript в метаданных обфусцированного PNG-файла, предназначенном для выполнения iFrame-внедрения. Такой код имеет малую вероятность обнаружения антивирусным сканером из-за того, что метод внедрения глубоко встроен в метаданные изображения.
    Питер Грамантик, исследователь вредоносного ПО из Securi, описал свои открытия Войти или зарегистрироваться, чтобы увидеть ссылку. в понедельник. Этот конкретный iFrame (плавающее окно) вызывается из простого JavaScript-файла jquery.js (см. ниже), который загружается через PNG-файл dron.png. Грамантик отметил, что в самом файле нет ничего странного — это просто обычная картинка, а вот что застало его врасплох, так это петля декодирования в JavaScript. В этом коде обнаруженная переменная strData была основой атаки.
    Показать связанные сообщения

    Войти или зарегистрироваться, чтобы увидеть ссылку.

    4 Февраль 2014 , 20:30
    [​IMG]
    iFrame вызывается из метаданных изображения, которые делают свою грязную работу, размещая его вне области видимости браузера, точнее, вообще вне экрана, со сдвигом на 1000 пикселей, согласно Грамантику. В то время как пользователи не могут видеть iFrame, «сам браузер и Google его видят», что потенциально можно использовать для атаки фоновой загрузкой или «отравлением» поискового движка.
    [​IMG]
    Полезную нагрузку можно увидеть в строке elm.src метаданных (см. выше). Это подозрительно выглядящий русский веб-сайт, который, согласно Войти или зарегистрироваться, чтобы увидеть ссылку. содержит два троянца и заразил больше тысячи доменов за последние 90 дней.
    Такая стратегия не является абсолютно новой, Марио Хейдерих, исследователь и тестировщик в немецкой компании Cure 53, Войти или зарегистрироваться, чтобы увидеть ссылку., что графические библиотеки в JavaScript можно использовать для сокрытия вредоносного кода.
    Точно так же Сомил Шах, CEO Net-Squre, Войти или зарегистрироваться, чтобы увидеть ссылку., как можно встраивать эксплойты в черно-белые изображения, вставляя код в пиксельные данные.
    Безотносительно того, насколько эта концепция стара или нова, Грамантик подчеркивает, что она может быть еще более усовершенствована и распространена на другие файлы изображений. Поэтому исследователь рекомендует IT-администраторам в дальнейшем начать разбираться, какие файлы могут, а какие не могут быть добавлены и модифицированы на их серверах.
    «Большинство антивирусных сканеров на данный момент не декодируют метаданные изображений, они остановятся на загружаемом JavaScript, но не пойдут по следу из хлебных крошек», — предупреждает Грамантик в своем блоге.
    Стеганография, наука сокрытия сообщений, зачастую путем запрятывания их в изображения и медиафайлы, в прошлом уже использовалась в нескольких мощных атаках. Злоумышленники, стоявшие за кампанией MiniDuke Войти или зарегистрироваться, чтобы увидеть ссылку., использовали ее для сокрытия кода бэкдора, а Войти или зарегистрироваться, чтобы увидеть ссылку. в Shady Red были обнаружены шифрованные HTML-команды, спрятанные в изображениях.
    Войти или зарегистрироваться, чтобы увидеть ссылку.
     
    • Like Like x 11
    Метки:

Поделиться этой страницей

Загрузка...