一张图片黑掉你:在图片中嵌入恶意程序


发布人:admin分类:网络安全浏览量:37发布时间:2017-12-12

印度Net-Square公司CEO、网络安全专家Saumil Shah最近发现了一种攻击方式:攻击者可以把恶意程序写到一张普通的图片文件里,人们只要打开看一眼这张看似普通的图片,电脑就会被黑。

技术原理

Saumil Shah把这种隐藏恶意程序命名为Stegosploit。那么这个程序的原理是什么呢?

该BUG来源于是一种Steganography技术,这种技术可以把信息隐藏到图片中,Saumil Shah利用这种概念,把代码写进图片像素,然后通过html5的可递交脚本的动态Canvas元素还原。

这个恶意代码本质是图片的代码和Javascript脚本的混合,被称之为IMAJS。黑客可以把代码写进JPG或者PNG格式的图片中,除非把图片放大仔细查看,否者一般情况下,肉眼很难发现图片有问题。

黑客在图片中写了恶意程序,这个程序可以设计很多功能,比如下载和安装间谍软件等。然后把图片上传到网上,并把地址告诉你,当你在浏览器中查看这张图片的时候,恶意程序就会被触发,你的电脑就有可能被黑。

也就是说,如果这个漏洞被利用,那么在以后的日子里,图片文件对我们来说已经不可信任了。

不过这种代码也不是百分百能让你中招,他只能作用于一些安全性较弱的浏览器或网站,并且这种带有恶意程序的图片不会出现在社交网站上,因为像Facebook等大社交网站,在上传图片的时候网站都会对其进行检测,如有问题,则不能上传。

5月28日,在2015 HITBSecConf 大会上Saumil Shah为大家演示了如何在图片中嵌入恶意程序并攻击个人电脑的方法,目前看来这只是一个漏洞,应该很快就会被修复。

漏洞利用工具

来自freebuf的消息,作者在twitter上表示目前利用工具正在开发中,后面会公布。FreeBuf将保持关注。

一些疑问

FreeBuf小编@Linvex:

有人并不认为这是一个Exploit。从文中来看,攻击者需要把图片放在<script>标签里面才能执行——这个漏洞早在13年就有人提过了,poc也早就有了,可以直接利用二进制写入js到bmp中,然后浏览器执行。译文可参考FreeBuf专栏作者@碳基体 mm 的文章(传送门)

不过当时要求是BMP,如果本文使用的技术是放在img标签还能执行js或者shellcode就有意思了。

视频演示

相关阅读

《恶意PNG:隐藏在图片中的“恶魔”》

安全研究人员发现,最新的Graftor木马变种可以将恶意DLL文件内嵌到PNG图片中,然后以图片为载体隐藏并将恶意DLL下载到目标系统上,并能够躲避杀毒软件的检测。针对本文中的样本,恶意内容被嵌入在了真实PNG图片数据的末尾。点我查看原文

*消息来源:crazyengineers雷锋网,FreeBuf综合整理,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)



被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21407198(PV) 页面执行时间:83.748(MS)
  • xml
  • 网站地图