Изображения в Twitter можно использовать для сокрытия файлов ZIP и MP3

Изображения в Twitter можно использовать для сокрытия файлов ZIP и MP3

Alexander Antipov

Простой загрузки и изменения расширения изображений достаточно для получения разного содержимого из одного и того же файла.

image

Исследователь безопасности Дэвид Бьюкенен (David Buchanan) рассказал о методе, с помощью которого можно скрыть до трех мегабайт данных внутри изображений в социальной сети Twitter. В ходе своей демонстрации специалист показал, как можно внедрить аудиофайлы в формате MP3 и архивы в формате ZIP в PNG-изображения.

Хотя прикрепленные PNG-файлы, опубликованные в Twitter, представляют собой настоящие изображения при предварительном просмотре, простой загрузки и изменения их расширения было достаточно для получения разного содержимого из одного и того же файла.

Исследователь опубликовал исходный код для создания подобных файлов, получивших название tweetable-polyglot-png, на платформе GitHub.

Как пояснил эксперт, Twitter сжимает изображения большую часть времени, но в некоторых случаях этого не происходит. Платформа также пытается удалить все лишние метаданные, чтобы любые существующие методы «polyglot file» не работали. Новый способ, который обнаружил исследователь, заключается в том, что можно добавлять данные в конец потока «DEFLATE» (часть файла, в котором хранятся сжатые данные пикселей), и Twitter не будет их удалять.

Хотя способы скрытия данных в изображениях не являются чем-то новым, тот факт, что такие изображения могут размещаться на популярном web-сайте и не подвергаться проверке, открывает возможность для злоупотреблений со стороны злоумышленников. Киберпреступники часто используют подобные методы, поскольку они позволяют им скрывать вредоносные команды, полезную нагрузку и другой контент в обычных файлах.

Как предполагает Бьюкенен, его метод может быть не особенно полезен, поскольку другие способы сокрытия данных являются более надежными и простыми. Однако вполне возможно, что продемонстрированный экспертом способ может быть использован вредоносными программами для упрощения командных и управляющих действий C&C-сервера.


Хакер массово атакуют Microsoft Exchange, найден способ получить доступ к камерам наблюдения в Tesla, iCloud «ломается» из-за нестандартной фамилии. В эфире восьмой выпуск секьюрити-новостей с Александром Антиповым.


Источник: Securitylab