Перейти к содержимому


Фотография
- - - - -

JavaScript в изображениях


В теме одно сообщение

#1 adamikc

adamikc

    новичок

  • Продвинутый
  • 471
  • Cообщений: 1 296
  • Городатлантида
  • Сделки через гарант:1

Отправлено 26 Февраль 2019 - 19:11

malvertising_headpic.png

 

Новая вредоносная атака, наблюдаемая в условиях дикой природы, основана на менее используемой технике, позволяющей скрыть вредоносную нагрузку. Авторы обратились к изображениям полиглота, чтобы добавить код JavaScript, который перенаправляет на страницу, предлагая поддельное вознаграждение.

 

Вредоносный код скрыт в картинке типа BMP, и он сильно запутан. Одним из свойств изображений полиглота является то, что браузеры могут запускать только код внутри них и игнорировать остальную часть содержимого.

По сути, интерпретатор в браузере игнорирует данные изображения и запускает строку полезной нагрузки.

Исследователи из Devcon обнаружили этот трюк, используемый в дикой природе, замаскированный под обычный файл BMP. Одно из изображений, измененных для удовлетворения интересов злоумышленника, может легко стать безобидной рекламой:

 

Polyglot_image-Exploited.png

 

Но при загрузке в браузер оно превращается в зашифрованное сообщение, которое имеет смысл, когда оно проходит через декодер, также включенный в изображение.

 

sc8.png

 

Исследователи говорят, что злоумышленник также запутал сценарий, который может расшифровать эксплойт.

После декодирования ничего особенного в полезной нагрузке нет. Контент доставляется через Cloudfront, сеть доставки контента от Amazon Web Services.

 

sc11.png

 

Цель URL - «перенаправить жертву со страницы, которую они посетили, в ряд других перенаправлений, пока пользователь не попадет в игру типа« Вращай колесо »с надеждой выиграть подарочную карту».

 

polyglot_malvertising_landing_page.png

 

Атаки с использованием изображений полиглота аналогичны атакам с использованием стеганографии в том, что они

могут скрывать вредоносные компоненты на изображении. Однако между ними есть различия.

«Эксплойты Polyglot уникальны тем, что файл может быть одновременно изображением и JavaScript! Ему также не нужен внешний скрипт для извлечения полезной нагрузки», - объясняют исследователи из Devcon.Что может сделать злоумышленник с изображениями полиглота, так это контролировать размер изображения и манипулировать шестнадцатеричным представлением изображения, чтобы компьютер интерпретировал его как нечто другое.

 

Добавляя комментарий JavaScript, злоумышленник говорит интерпретатору запустить только часть полезной нагрузки в файле. Кроме того, они берут шестнадцатеричное представление символов «BM», которые отмечают тип файла для компьютера, и превращают их в переменную JavaScript, установленную в полезную нагрузку.

 

sc3.png

 

При этом интерпретатор JavaScript смотрит только на полезную нагрузку и игнорирует все остальное.

 

sc4.png

 

Эта техника не нова. Как отмечают сами исследователи, это хитрость из коллекции компьютерного волшебства « PoC Or GTFO » по таким темам, как наступательные исследования в области безопасности, обратный инжиниринг и внутренняя структура форматов файлов.


  • 2



#2 Xrahitel

Xrahitel

    ☠Xrahitel☠

  • ☠Форума☠
  • PipPipPipPipPipPip
  • 8 606
  • Cообщений: 13 787
  • Город☨☨☨☨☨☨

Отправлено 28 Февраль 2019 - 05:50

тут все в бою это есть тыц


  • 0



Ответить



  

Количество пользователей, читающих эту тему: 1

0 пользователей, 1 гостей, 0 анонимных