¿Cómo ocurre el enlace de imágenes con parches maliciosos?

2

Bueno, no sé si esta técnica aún se usa, pero hace unos 5-7 años fue una forma popular de entregar un parche malicioso (Sub-7, bifrost, etc.) a una víctima.

Solía haber un programa que vincula el parche malicioso con una imagen o un archivo MP3.

¿Cómo se produce la dosis en el nivel binario?

¿Cómo se pueden juntar dos códigos de dos tipos diferentes de archivos?

Y cuando se ejecuta el programa (.i.e cuando está cargado en la memoria), ¿cómo diferencia el sistema operativo el código EXE de la imagen o el código MP3?

En otras palabras, ¿cómo funcionan los programas de enlace?

    
pregunta HSN 21.03.2013 - 00:25
fuente

1 respuesta

6

Sub7 y Bifrost (o cualquier otro RAT se me ocurre) nunca he proporcionado la capacidad de incluir código malicioso en los archivos .jpg o .mp3 (o cualquier formato no ejecutable).

Sub7 y ProRAT tenían, sin embargo, la capacidad de empaquetar el binario malicioso y un archivo .jpg (o cualquier otro archivo para esa materia) en uno archivo autoextraíble con un icono de su propia elección (ver la imagen de abajo). Cuando hizo clic en el archivo resultante .exe , extrajo sigilosamente los archivos, instaló la puerta trasera y luego abrió el archivo .jpg con el visor de imágenes predeterminado, lo que lleva al usuario desprevenido a creer que todo está bien.

Hay otras formas de implementar una carga útil maliciosa en la máquina de la víctima. Por ejemplo, el atacante podría crear un archivo de imagen especialmente diseñado para explotar una vulnerabilidad en su visor de imágenes, lo que le permitiría ejecutar código arbitrario, incluida la instalación de puertas traseras. Un ejemplo de esto es el famoso MS06-001 en la interfaz de dispositivo gráfico de Windows (GDI) .

Eso no solo se limita a los archivos de imagen, una vulnerabilidad en el Reproductor de Windows Media permitió un archivo .mpg especialmente diseñado para ejecutar el código en la máquina de la víctima.

Seleccionando el formato del archivo de resultado:

Seleccionandoelicono:

    
respondido por el Adi 21.03.2013 - 03:04
fuente

Lea otras preguntas en las etiquetas