1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Мечты сбываются. Исполняемый код через графические расширения

Тема в разделе "Чужие", создана пользователем burkoffb, 28 фев 2014.

  1. TopicStarter Overlay
    burkoffb

    burkoffb Гость

    Ребят напишите еще кто какие методы знает

    Дифиниция:

    Не особо заморачиваясь все подгружают софт жертвам склейкой двух и более екзешников, один из которых как правило полезный или просто нужный пользователю

    Видеофайлы - как разновидность

    И всегда сколько помню четко оговаривалось exe bat и прочие (Please login or register to view links) расширения исполняемых фалов не будут работать при простой смене названия расширения файла исполняемого кода на графические форматы (Please login or register to view links по этой ссылке проще воспринимается)

    Решения:

    1. Классика - джойнер с мелтингом (хоть sfx-ом) - склеиваем с изображенем, подменяем иконку соотв. картинкой, пишем по приколу расширение типа "картинка.jpeg" (или что угодно как часть названия) при открытии запускается exe, загружается софт, картинка-фотка открывается перезаписывается заменой екзешника и сохраняется, исходный файл контейнер самоуничтожается

    но! остается все по прежнему - исходный "псевдографический" файл - .exe

    2. Даже не классика, а динозавро-спуфер-хак -сделать миллион пробелов чтоб ламер не увидел на компе exe, но это палево, название файла на компе будет "картинка.bmp" и белый пустой огромный прямоугольник (где .exe просто выйдет за область отображения) как часть отображения названия файла - любого испугает, но это непосредственно на компе, а при закачке проге пофиг - она покажет истинное расширение закачиваемого файла!

    3. (Новое!) Метаданные в файле PNG позволяют внедрять iFrame

    Исследователи обнаружили сравнительно новый путь распространения зловредов, который основывается на коде JavaScript в метаданных обфусцированного PNG-файла, предназначенном для выполнения iFrame-внедрения. Такой код имеет малую вероятность обнаружения антивирусным сканером из-за того, что метод внедрения глубоко встроен в метаданные изображения.
    Питер Грамантик, исследователь вредоносного ПО из Securi, описал свои открытия Please login or register to view links в понедельник. Этот конкретный iFrame (плавающее окно) вызывается из простого JavaScript-файла jquery.js (см. ниже), который загружается через PNG-файл dron.png. Грамантик отметил, что в самом файле нет ничего странного — это просто обычная картинка, а вот что застало его врасплох, так это петля декодирования в JavaScript. В этом коде обнаруженная переменная strData была основой атаки.
    Показать связанные сообщения

    Please login or register to view links

    4 Февраль 2014 , 20:30
    [​IMG]
    iFrame вызывается из метаданных изображения, которые делают свою грязную работу, размещая его вне области видимости браузера, точнее, вообще вне экрана, со сдвигом на 1000 пикселей, согласно Грамантику. В то время как пользователи не могут видеть iFrame, «сам браузер и Google его видят», что потенциально можно использовать для атаки фоновой загрузкой или «отравлением» поискового движка.
    [​IMG]
    Полезную нагрузку можно увидеть в строке elm.src метаданных (см. выше). Это подозрительно выглядящий русский веб-сайт, который, согласно Please login or register to view links содержит два троянца и заразил больше тысячи доменов за последние 90 дней.
    Такая стратегия не является абсолютно новой, Марио Хейдерих, исследователь и тестировщик в немецкой компании Cure 53, Please login or register to view links, что графические библиотеки в JavaScript можно использовать для сокрытия вредоносного кода.
    Точно так же Сомил Шах, CEO Net-Squre, Please login or register to view links, как можно встраивать эксплойты в черно-белые изображения, вставляя код в пиксельные данные.
    Безотносительно того, насколько эта концепция стара или нова, Грамантик подчеркивает, что она может быть еще более усовершенствована и распространена на другие файлы изображений. Поэтому исследователь рекомендует IT-администраторам в дальнейшем начать разбираться, какие файлы могут, а какие не могут быть добавлены и модифицированы на их серверах.
    «Большинство антивирусных сканеров на данный момент не декодируют метаданные изображений, они остановятся на загружаемом JavaScript, но не пойдут по следу из хлебных крошек», — предупреждает Грамантик в своем блоге.
    Стеганография, наука сокрытия сообщений, зачастую путем запрятывания их в изображения и медиафайлы, в прошлом уже использовалась в нескольких мощных атаках. Злоумышленники, стоявшие за кампанией MiniDuke Please login or register to view links, использовали ее для сокрытия кода бэкдора, а Please login or register to view links в Shady Red были обнаружены шифрованные HTML-команды, спрятанные в изображениях.
    Please login or register to view links
     
    • Like Like x 11
    Метки:

Поделиться этой страницей

Загрузка...