Взлом с помощью изображений атакой Polyglot

M

[Mops]

Original poster
Мой перевод статьи выложенной

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


DEVCON-Polyglot+image+2-1-2019.png
DEVCON следит за группой злоумышленников, которые переходят к более изощренным атакам, чтобы скрыть свои payloads
Исследовательская группа DEVCON обнаружила, как минимум, одну группу, распространяющую вредоносную полезную нагрузку AD с помощью полиглотов. Определение изображений полиглота и стеганографических изображений может быть легко перепутано, однако между этими двумя атаками есть некоторые ключевые различия.
Стеганографические эксплойты используют данные, скрытые в изображении, изменяя пиксели здесь и там. Изменяя несколько пикселей на изображении, человеческий глаз не может обнаружить очень маленькое ухудшение качества изображения. Этот эксплойт также требует некоторого дополнительного javascript (не на изображении), чтобы узнать шаблоны и смещения, так же чтобы найти эксплуатируемые пиксели и собрать их в исполняемый javascript.
Эксплойты Polyglot уникальны тем, что файл может быть изображением и JavaScript'ом одновременно!
Также не требуется внешний скрипт для извлечения полезной нагрузки. Как файл может быть JavaScript'ом и изображением?
Ну, он опирается на некоторые очень хитрые уловки того, как компьютер интерпретирует эти два совершенно разных файла.

Ниже показано, что компьютер видит, когда читает в обычном файле BMP. Нам нужно понять, что происходит , чтобы знать, как злоумышленник превратит это в полиглот атаку и использует браузер.
sc1.png
Первые два байта (красный квадрат) представляют собой шестнадцатеричное представление символов BM для изображения BMP. Следующие 4 байта (8A C0 A8 00) - это размер файла изображения. Далее следуют 4 нулевых байта (00 00 00 00) и смещения данных (8A 00 00 00). Это дает компьютеру большую часть информации, которую он должен знать, чтобы правильно выполнить этот файл.

Теперь вот заголовок для файла изображения Polyglot BMP:
sc2.png
Они выглядят примерно одинаково. Размер и смещение данных все еще там.
Уловка заключается в том, что злоумышленник может контролировать размер изображения, а шестнадцатеричные символами можно
манипулировать,чтобы они интерпретировались компьютером как нечто другое.
Злоумышленник здесь изменил размер байтов изображения, чтобы они также были кодами символов для / **. Эта комбинация символов создает комментарий на JavaScript.
Комментарии JavaScript используются для того, чтобы интерпретатор игнорировал все, что находится между этими символами. т.е.
/ * ignore me* /.
Давайте посмотрим на более позднюю часть эксплойта, которая происходит в конце файла.
sc3.png
Как и ожидалось, комментарий JavaScript заканчивается на * /. Затем атакующий добавляет characters = and `
Что злоумышленник сделал здесь, так это превратил тип файла BM в переменную JavaScript и установил для нее другую запутанную полезную нагрузку.​
Приведенный ниже пример объясняет, как это будет выглядеть для интерпретатора JavaScript.
sc4.png
Теперь файл можно запустить в браузере двумя разными способами
1<img src = "polyglot.jpg" /> покажет пользователю изображение и проигнорирует JavaScript​
2 <script src = "polyglot.jpg"> </ script> выполнит допустимый JavaScript и проигнорирует данные изображения.
Наша исследовательская группа обнаружила, что это метод используется в дикой природе, чтобы скрыть вредоносную нагрузку. Мы обнаружили атаку в следующих креативных изображениях:
Exploited.png
Найденная нами полезная нагрузка загружает то, что выглядит как обычный файл BMP, но при загрузке в bowser как javascript она загружает переменную BM в память, как показано на следующем снимке экрана.
sc8.png
Более поздние части файла изображения содержат сценарий декодера, который также является запутанным javascript. Эта атака имеет много слоев и новых техник, чтобы попытаться скрыть ее истинную природу и помешать реверс-инженерам понять, как она работает.
sc9.png
Весь приведенный выше сценарий расшифровывается до следующего очень простого сценария. Это, наконец, расшифрует данные, скрываемые в переменной BM.
sc10.png
Ниже приведены декодированные данные BM. Этот окончательно раскодированный скрипт не похож на многие другие вредоносные эксплойты, которые мы видим. Он добавляет URL-адрес облачного фронта в браузер, который будет перенаправлять жертву со страницы, которую он посещал, и в серию других перенаправлений, пока пользователь не попадет в игру типа «Вращай колесо» в надежде выиграть подарочную карту.
sc11.png
Пример перенаправления:
image-asset.png
Что интересно в этом новом векторе атаки, так это то, что он не такой новый. Эти методы хорошо известны исследователям безопасности.
Полиглоты JS / GIF являются известным способом обхода политики безопасности содержимого сервера для выполнения XSS-атак.
Это может указывать на то, что более продвинутые группы в настоящее время перемещаются в пространство мошенничества с рекламой, чтобы использовать пользователей сети.​
Ссылки:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


 

Вложения

  • sc10.png
    sc10.png
    5.7 КБ · Просмотры: 1

CMDfromBAT

"Рыбак" со стажем
Moderator
Сообщения
288
Реакции
586
Посетить сайт
Мой перевод статьи выложенной

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Посмотреть вложение 2973
DEVCON следит за группой злоумышленников, которые переходят к более изощренным атакам, чтобы скрыть свои payloads
Исследовательская группа DEVCON обнаружила, как минимум, одну группу, распространяющую вредоносную полезную нагрузку AD с помощью полиглотов. Определение изображений полиглота и стеганографических изображений может быть легко перепутано, однако между этими двумя атаками есть некоторые ключевые различия.
Стеганографические эксплойты используют данные, скрытые в изображении, изменяя пиксели здесь и там. Изменяя несколько пикселей на изображении, человеческий глаз не может обнаружить очень маленькое ухудшение качества изображения. Этот эксплойт также требует некоторого дополнительного javascript (не на изображении), чтобы узнать шаблоны и смещения, так же чтобы найти эксплуатируемые пиксели и собрать их в исполняемый javascript.
Эксплойты Polyglot уникальны тем, что файл может быть изображением и JavaScript'ом одновременно!
Также не требуется внешний скрипт для извлечения полезной нагрузки. Как файл может быть JavaScript'ом и изображением?
Ну, он опирается на некоторые очень хитрые уловки того, как компьютер интерпретирует эти два совершенно разных файла.

Ниже показано, что компьютер видит, когда читает в обычном файле BMP. Нам нужно понять, что происходит , чтобы знать, как злоумышленник превратит это в полиглот атаку и использует браузер.
Посмотреть вложение 2974
Первые два байта (красный квадрат) представляют собой шестнадцатеричное представление символов BM для изображения BMP. Следующие 4 байта (8A C0 A8 00) - это размер файла изображения. Далее следуют 4 нулевых байта (00 00 00 00) и смещения данных (8A 00 00 00). Это дает компьютеру большую часть информации, которую он должен знать, чтобы правильно выполнить этот файл.

Теперь вот заголовок для файла изображения Polyglot BMP:
Посмотреть вложение 2975
Они выглядят примерно одинаково. Размер и смещение данных все еще там.
Уловка заключается в том, что злоумышленник может контролировать размер изображения, а шестнадцатеричные символами можно
манипулировать,чтобы они интерпретировались компьютером как нечто другое.
Злоумышленник здесь изменил размер байтов изображения, чтобы они также были кодами символов для / **. Эта комбинация символов создает комментарий на JavaScript.
Комментарии JavaScript используются для того, чтобы интерпретатор игнорировал все, что находится между этими символами. т.е.
/ * ignore me* /.
Давайте посмотрим на более позднюю часть эксплойта, которая происходит в конце файла.
Посмотреть вложение 2976
Как и ожидалось, комментарий JavaScript заканчивается на * /. Затем атакующий добавляет characters = and `
Что злоумышленник сделал здесь, так это превратил тип файла BM в переменную JavaScript и установил для нее другую запутанную полезную нагрузку.​
Приведенный ниже пример объясняет, как это будет выглядеть для интерпретатора JavaScript.
Посмотреть вложение 2977
Теперь файл можно запустить в браузере двумя разными способами
1<img src = "polyglot.jpg" /> покажет пользователю изображение и проигнорирует JavaScript​
2 <script src = "polyglot.jpg"> </ script> выполнит допустимый JavaScript и проигнорирует данные изображения.
Наша исследовательская группа обнаружила, что это метод используется в дикой природе, чтобы скрыть вредоносную нагрузку. Мы обнаружили атаку в следующих креативных изображениях:
Посмотреть вложение 2978
Найденная нами полезная нагрузка загружает то, что выглядит как обычный файл BMP, но при загрузке в bowser как javascript она загружает переменную BM в память, как показано на следующем снимке экрана.
Посмотреть вложение 2979
Более поздние части файла изображения содержат сценарий декодера, который также является запутанным javascript. Эта атака имеет много слоев и новых техник, чтобы попытаться скрыть ее истинную природу и помешать реверс-инженерам понять, как она работает.
Посмотреть вложение 2981
Весь приведенный выше сценарий расшифровывается до следующего очень простого сценария. Это, наконец, расшифрует данные, скрываемые в переменной BM.
Посмотреть вложение 2983
Ниже приведены декодированные данные BM. Этот окончательно раскодированный скрипт не похож на многие другие вредоносные эксплойты, которые мы видим. Он добавляет URL-адрес облачного фронта в браузер, который будет перенаправлять жертву со страницы, которую он посещал, и в серию других перенаправлений, пока пользователь не попадет в игру типа «Вращай колесо» в надежде выиграть подарочную карту.
Посмотреть вложение 2985
Пример перенаправления:
Посмотреть вложение 2986
Что интересно в этом новом векторе атаки, так это то, что он не такой новый. Эти методы хорошо известны исследователям безопасности.
Полиглоты JS / GIF являются известным способом обхода политики безопасности содержимого сервера для выполнения XSS-атак.
Это может указывать на то, что более продвинутые группы в настоящее время перемещаются в пространство мошенничества с рекламой, чтобы использовать пользователей сети.​

Ссылки:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Очень круто! Проделал большую работу, это сразу видно. Молодчина
 
Название темы
Автор Заголовок Раздел Ответы Дата
Denik Интересно Взлом WINDOWS 10 с помощью TORAT Уязвимости и взлом 4
S Взлом админки CSS & CSGO с помощью плагина Раздача email 4
G CVE-2017-11882 или Взлом с помощью безобидного документа Полезные статьи 2
C Взлом с помощью андроида Вопросы и интересы 7
I Взлом windows 7-10 с помощью setoolkit и metasploit (Kali Linux) Полезные статьи 4
Admin Взлом в вк, с помощью соц. инженерии Полезные статьи 1
S Взлом пароля с помощью WireShark Уязвимости и взлом 5
Support81 Взлом или небрежность? Код и пароли Binance были доступны на GitHub в течение нескольких месяцев Новости в сети 0
Support81 Взлом KyberSwap: математика помогла хакеру украсть $47 млн Новости в сети 0
Support81 Взлом криптобиржи Poloniex принёс ущерб в $100 млн. Новости в сети 0
Траблшутер Продавец Взлом почты/соц.сети/мессенджеры Ищу работу. Предлагаю свои услуги. 1
W Заказать услуги Хакера,Взлом на заказ от [email protected] взлом базы данных,удаленный доступ (telegram,Viber,Whatsapp,Gmail,vk.com,OK.ru) Если Корзина 0
W Заказать услуги Хакера,Доступ до БД сайтов,Взлом Сайтов,Взлом на заказ от [email protected] -решение проблем по взлому. Корзина 0
B SERVICE HACKEP [email protected] Услуги Взлома на заказ,заказать услуги взлома,взлом на заказ,сервис взлома. 1. Взлом мессенджеров сообщений: Корзина 0
K Взлом WiFi через Кали линукс с рут правами Вопросы и интересы 3
H Услуги взлома: ВК, WhatsApp, Viber, Instagram / E-mail / Взлом сайтов Корзина 0
L Взлом ВКонтакте на заказ от Фантомаса Ищу работу. Предлагаю свои услуги. 4
B Взлом электронной почты, без предоплаты. Ищу работу. Предлагаю свои услуги. 0
L Интересно Взлом мастер пароля firefox (key4.db) Бруты/Парсеры/Чекеры 0
D Оптовый взлом почты на заказ (цена 20$) Взлом почты Mail.ru Yandex.ru Rambler.ru Ищу работу. Предлагаю свои услуги. 0
V Взлом|Hack|HackMessenger|соц сети мессенджеры почты Корзина 0
ananda Интересно Взлом Wrapped LEO на сумму $42 000 Новости в сети 0
H Взлом без предоплат писать на [email protected]!,Ok.ru,WhatsApp на заказ! Не нужно писать в ЛС на форуме. Все контакты указаны ниже Пишите на поч Корзина 0
Admin Интересно Взлом BHF, карты раскрыты Новости в сети 21
B Взлом почты mail.ru , rambler, yandex, корп.почт Ищу работу. Предлагаю свои услуги. 1
H HackService(Услуги Взлома) [email protected] - решение проблем по взлому (Корпоративная,Viber,Whatsapp) 1. Взлом мессенджеров сообщений: 1.1 Взл Корзина 1
Denik Интересно Взлом компьютера одной фразой PasteZort Уязвимости и взлом 1
Denik Интересно Взлом компьютера через презентацию Уязвимости и взлом 4
CMDfromBAT Интересно Взлом почты при помощи Hydra в Kali Linux Уязвимости и взлом 2
M Услуги хакера и взлом на заказ Заказать взлом? - пишите нам [email protected] Взлом сайта, взлом форума - на заказ! Хотите узнать с кем общается В Корзина 0
Eteriass Интересно Мой арсенал для пентеста. Глава 1. Взлом wifi Полезные статьи 4
3 Взлом вашей второй Половинки или Конкурента связь [email protected] Eсли вы хотите узнать что делает ваша вторая половинка в сети пишем нам на почту Корзина 0
P Взлом Хорошие цены связь [email protected]!,Ok.ru,WhatsApp на заказ! Не нужно писать в ЛС на форуме. Все контакты указаны ниже Чтобы сделать Корзина 0
P Взлом Хорошие цены связь [email protected]!,Ok.ru,WhatsApp на заказ! Не нужно писать в ЛС на форуме. Все контакты указаны ниже Чтобы сделать Корзина 0
X Взлом вашей второй Половинки или Конкурента связь [email protected] Eсли вы хотите узнать что делает ваша вторая половинка в сети пишем нам на поч Ищу работу. Предлагаю свои услуги. 1
J Интересно Взлом компьютера через беспроводную мышь или клавиатуру Уязвимости и взлом 2
P Качественный подбор паролей (vk.comOk.ru,WhatsApp.Viber) от [email protected] Взлом сайта, взлом форума - на заказ! Хотите узнать с кем обща Корзина 0
Ltybcrf Интересно Взлом mail.ru + Способ удаления телефона с mail.ru Уязвимости и взлом 3
2 Взлом камер видеонаблюдения через браузер Уязвимости и взлом 24
Denik Интересно Взлом Qiwi кошелька Уязвимости и взлом 2
U Взлом ПК при помощи названия папки. Уязвимости и взлом 0
Fiora взлом почты gmail, mail, yandex, yahoo. Взлом социальных сетей (VK, OK,Facebook даже при наличии двухфакторной аутентификации) взлом whatsapp. Вопросы и интересы 6
S [Взлом почты на заказ] Mail.Ru, Yandex.Ru, Rambler.Ru, Ukr.net, Gmail.Com Ищу работу. Предлагаю свои услуги. 0
A Взлом wifi Вопросы и интересы 9
D Взлом без предоплаты WhatsApp instagram vk viber Уязвимости и взлом 1
V Взлом удаление информации в сети Корзина 0
V Взлом удаление информации в сети Корзина 0
N Взлом распечатка СМС и звонков Уязвимости и взлом 1
АнАлЬнАя ЧуПаКаБрА Интересно Взлом и бесплатная подписка (-95% скидка ) на в любом прокси селлере (способ снятия ограничения) Раздача dedic/ssh/proxy 1
N Взлом ВКонтакте от NEMAFIA. Быстро. Недорого. Без предоплаты. Корзина 0

Название темы