¿Se puede adjuntar malware a una imagen?

48

Tengo una pequeña cantidad de empleados que usan una computadora de la empresa, pero estas personas no son muy expertas en tecnología. Utilizan un cliente de correo electrónico y un cliente de mensajería.

Estoy bastante seguro de que no harían clic en el archivo .exe o .zip en un correo electrónico sin pensarlo, y sé que esa es un área de preocupación.

Sin embargo, estoy pensando en imágenes. De hecho, independientemente de la capacidad de una persona con la tecnología, creo que adjuntar cosas (código o cualquier otra cosa) a una imagen puede ser un riesgo para la seguridad.

¿Qué se puede adjuntar a las imágenes para dañar a otro?

Creo que las imágenes pueden representar un riesgo para la seguridad ya que se "ejecutan automáticamente" o algo así.

Hay muchas formas en que una computadora puede recibir las imágenes (incluyendo el teléfono o la tableta, por supuesto):

- email
- iMessage (or any other messaging app)
- someone right-clicking and saving an image from a web page
- just viewing a web page of course downloads the image to cache

¿Qué precauciones debo tomar con respecto a las cuatro cosas anteriores? ¿Puede alguien simplemente adjuntar un código a una imagen y ejecutarla?

¿Qué debo hacer para evitar que las imágenes se utilicen contra mis computadoras?

Supongo que no puedes simplemente adjuntar código a una imagen y enviar un iMessage al iPhone de alguien. ¿Qué pasa con Android?

    
pregunta user2143356 07.04.2014 - 23:39
fuente

9 respuestas

72

Las otras respuestas hablan principalmente de adjuntar código arbitrario a las imágenes a través de técnicas esteganográficas, pero eso no es muy interesante ya que requiere que el usuario sea cómplice en la extracción y ejecución de eso. El usuario podría ejecutar código malicioso directamente si ese es su objetivo.

Realmente te interesa saber si existe una posibilidad de ejecución inesperada y arbitraria de código al ver una imagen. Y sí, existe la posibilidad de que un atacante construya una imagen maliciosa (o algo que dice ser una imagen) que se enfoca en implementaciones de visualización de imágenes específicas con fallas conocidas. Por ejemplo, si un visor de imágenes asigna un búfer y calcula el tamaño del búfer necesario a partir de un cálculo ingenuo width * height * bytes_per_pixel , una imagen malintencionada podría reportar dimensiones lo suficientemente grandes como para provocar el desbordamiento del cálculo anterior, haciendo que el espectador asigne un búfer más pequeño esperado, y luego permitir un ataque de desbordamiento de búfer cuando se leen datos.

Ejemplos específicos:

En general, es difícil protegerse contra este tipo de cosas. Algunas cosas que puedes hacer:

  • Mantenga sus sistemas y aplicaciones actualizados.
  • Habilite DEP .
  • Habilite ASLR si es posible.
  • Evite ejecutar programas con privilegios administrativos.
  • En Windows, EMET de Microsoft también podría proporcionar cierta protección.
respondido por el jamesdlin 08.04.2014 - 03:58
fuente
11

Sí, hay formas de 'explotar' los desbordamientos de búfer.

Es posible que algunas veces sea necesario ejecutar el código a través de una secuencia de comandos independiente, y en teoría, podría armar un virus a partir de varias imágenes que contenían código oculto en la imagen mediante la estenografía, pero existen formas más fáciles.

Básicamente, muchos sistemas informáticos esperaban que las imágenes cumplieran con la especificación exacta para el tipo y el error en el rango correcto verifique los formatos / parámetros que se están pasando.

Al 'diseñar' una imagen de modo que externamente se vea como que cumple, pero internamente no, fue posible desencadenar la corrupción de la pila / los desbordamientos de búfer que permitirían que el código oculto en una imagen se ejecute bajo la autoridad de el usuario.

Pero tenga en cuenta que esto NO SÓLO se aplica a las imágenes, se puede aplicar a CUALQUIER archivo, observe el reciente exploit RTF en MS word.

    
respondido por el bob 08.04.2014 - 02:43
fuente
7

Siempre puede ocultar archivos / programas / cualquier cosa en el 'espacio de holgura' de cualquier archivo. Luego, podría ejecutar un script más tarde para extraer y / o compilar lo que ha ocultado ... Por ejemplo, podría incrustar un ejecutable malicioso (o un script más pequeño) en varias imágenes en un sitio web. Cuando un usuario va al sitio web, descarga las imágenes.

Obtenga más información acerca de Slack Space aquí: enlace y luego juegue un poco con él agarrándolo un editor hexadecimal ( enlace ) y se entretiene.

    
respondido por el Matthew Peters 07.04.2014 - 23:48
fuente
3

Para casi cualquier formato de archivo, los programas que lo leen pueden tener algunos errores explotables por un archivo creado con fines malintencionados.

Puede suceder (y ha sucedido) también para las imágenes; pero generalmente se limitaría a un solo programa particular (o biblioteca) que lo lea, no a una "imagen general con malware" que ataque a todos estos programas.

Incluso los archivos de texto no son teóricamente seguros si los programas intentan hacer algo interesante con ellos. Una inyección de SQL en una publicación de blog es esencialmente "malware adjunto a texto"; hubo una vulnerabilidad en Python que permitía el bloqueo (= denegación de servicio) al enviar datos de texto malintencionados y afirmar que está en codificación UTF-7, explotando un error en ese decodificador; y existen ataques basados en la ruptura de analizadores XML por, de nuevo, datos maliciosos de texto cercano.

    
respondido por el Peteris 08.04.2014 - 10:55
fuente
1

Sí, es posible ocultar malware en una imagen. No es un ataque muy común, pero recientemente parece que los autores de malware comienzan a ocultar malware dentro de las imágenes.

El análisis de malware no es lo mío. Si desea obtener más información, busque " Esteganography Malware " .

Un consejo es no abrir correos electrónicos de fuentes desconocidas o no confiables.

    
respondido por el Ubaidah 08.04.2014 - 00:01
fuente
1

Los exploits son solo eso, exploits. Alguien encuentra una vulnerabilidad en algún código ampliamente utilizado, y luego se establece para preparar el escenario para que esa vulnerabilidad haga su trabajo. Supongamos, por ejemplo, que alguien descubrió que un cliente de correo electrónico muy utilizado tiene un error que provoca un desbordamiento de búfer en alguna circunstancia específica. Si se introducen suficientes datos con formato incorrecto en el búfer, se sobrepasa en la pila. Ahora puede tomar una imagen, con el formato incorrecto exactamente como debe ser para causar el desbordamiento del búfer, incrustar en él algunos programas maliciosos y rellenar el final de los datos con un montón de NOPs y luego una ingeniosa rutina de ensamblaje pequeño que se descarga en el pila, que cuando se ejecuta apunta directamente al malware que ya está cargado en la memoria en el búfer de imagen. Todo lo que un usuario debe hacer para infectarse es hacer que la imagen con formato incorrecto se muestre en la aplicación vulnerable. Este es un canal de ataque más común en explotaciones altamente específicas de día cero.

Los remedios para estos problemas son, afortunadamente, fáciles de aplicar. Configure las máquinas para permitir solo mensajes de texto sin formato. Asegúrese de usar solo software bien mantenido y aplique todas las actualizaciones automáticamente.

    
respondido por el user3437670 08.04.2014 - 06:53
fuente
1

Hay programas llamados carpetas que normalmente adjuntan un ejecutable a una imagen. El malware que se encuentra en las imágenes suele ser RAT (herramientas de administración remota), que es un material de deslizamiento que algunos de ellos utilizarán para obtener acceso a su computadora. Normalmente, esto solo se usa en sitios web donde los idiotas cachondos hablan con estos patines, y los patines fingen que son chicas y les dicen que descarguen una imagen. Personalmente, creo que hay formas mucho mejores de propagar las cosas, y la mayoría de los antivirus deberían detectar estos "enlaces" incluso si el virus es FUD (no detectado).

    
respondido por el Man Person 08.04.2014 - 17:03
fuente
1

El mensaje de texto sin formato es que cuando el cliente de correo solo lee texto sin formato, ninguno de los scripts potencialmente peligrosos u ocultos se interpretará o ejecutará en absoluto. Solo será una cadena para el cliente de correo.

    
respondido por el Drunken Code Monkey 12.04.2014 - 08:17
fuente
0

Hay un ejemplo de una vulnerabilidad descrita aquí: ejecución de código completo en sistemas Windows, si javascript estaba habilitado = > SVG SNAFU .

Información:

  

Joshua Yabut, otro investigador que también analizó el código, dijo a Ars que explota el llamado error de uso después de que es necesario habilitar JavaScript en la computadora vulnerable. Yabut continuó diciendo que el código es "100% efectivo para la ejecución remota de código en sistemas Windows". El código de explotación, agregó el investigador, ajusta la ubicación de memoria de la carga útil en función de la versión de Firefox que está siendo explotada. Las versiones abarcan desde 41 hasta 50, siendo la versión 45 ESR la versión utilizada por la última versión del navegador Tor. Los ajustes son una indicación de que las personas que desarrollaron el ataque lo probaron ampliamente para asegurarse de que funcionó en varias versiones de Firefox. El exploit hace llamadas directas a kernel32.dll, una parte central del sistema operativo Windows.    Fuente

    
respondido por el user2497 07.06.2017 - 21:50
fuente

Lea otras preguntas en las etiquetas