NỘI DUNG
Có nhiều thứ hơn là chỉ hình ảnh mà mắt thường thấy – lớp vỏ bên ngoài có vẻ vô hại của chúng có thể che giấu một mối đe dọa nghiêm trọng.
Phần mềm bảo mật đã trở nên khá hiệu quả trong việc phát hiện các tệp nghi ngờ, và khi các doanh nghiệp ngày càng nhận thức rõ hơn về việc cần nâng cao tư thế bảo mật của mình với các lớp bảo vệ bổ sung, sự lừa dối để tránh bị phát hiện đã trở nên cần thiết.
Về bản chất, bất kỳ phần mềm bảo mật nào cũng đủ mạnh để phát hiện hầu hết các tệp độc hại. Do đó, các tác nhân đe dọa liên tục tìm cách khác nhau để tránh bị phát hiện, và trong số các kỹ thuật đó có việc sử dụng phần mềm độc hại ẩn trong hình ảnh hoặc ảnh.
Phần mềm độc hại ẩn trong hình ảnh
Có thể nghe có vẻ khó tin, nhưng nó hoàn toàn có thật. Phần mềm độc hại được đặt bên trong các hình ảnh với các định dạng khác nhau là kết quả của kỹ thuật giấu dữ liệu (steganography), kỹ thuật ẩn dữ liệu trong một tệp để tránh bị phát hiện. ESET Research đã phát hiện kỹ thuật này được nhóm gián điệp mạng Worok sử dụng, họ ẩn mã độc trong các tệp hình ảnh, chỉ lấy thông tin pixel cụ thể từ chúng để trích xuất payload để thực thi. Hãy lưu ý rằng điều này được thực hiện trên các hệ thống đã bị xâm nhập, vì như đã đề cập trước đó, việc ẩn phần mềm độc hại trong hình ảnh chủ yếu nhằm mục đích tránh bị phát hiện hơn là truy cập ban đầu.
Hầu hết các hình ảnh độc hại thường có sẵn trên các trang web hoặc được đặt trong các tài liệu. Một số có thể nhớ adware: mã được ẩn trong các biểu ngữ quảng cáo. Một mình, mã trong hình ảnh không thể chạy, thực thi hoặc trích xuất khi được nhúng. Một phần mềm độc hại khác phải được cung cấp để trích xuất mã độc và thực thi nó. Mức độ tương tác của người dùng yêu cầu là khác nhau và khả năng ai đó nhận thấy hoạt động độc hại có vẻ phụ thuộc nhiều hơn vào mã liên quan đến việc trích xuất hơn là vào hình ảnh chính nó.
Bit ít quan trọng (hoặc quan trọng nhất)
Một trong những cách tinh vi hơn để nhúng mã độc vào hình ảnh là thay thế bit ít quan trọng nhất của mỗi giá trị đỏ-xanh-lục-xanh-alpha (RGBA) của mỗi pixel bằng một phần nhỏ của thông điệp. Một kỹ thuật khác là nhúng thứ gì đó vào kênh alpha của hình ảnh (biểu thị độ mờ của một màu), chỉ sử dụng một phần tương đối không quan trọng. Bằng cách này, hình ảnh trông gần như giống như một hình ảnh bình thường, làm cho bất kỳ sự khác biệt nào khó phát hiện bằng mắt thường.
Một ví dụ về điều này là khi các mạng quảng cáo hợp pháp cung cấp quảng cáo có thể dẫn đến một biểu ngữ độc hại được gửi từ một máy chủ bị xâm nhập. Mã JavaScript được trích xuất từ biểu ngữ, khai thác lỗ hổng CVE-2016-0162 trong một số phiên bản của Internet Explorer, để thu thập thêm thông tin về mục tiêu.
Các payload độc hại được trích xuất từ hình ảnh có thể được sử dụng cho nhiều mục đích khác nhau. Trong trường hợp lỗ hổng Explorer, script được trích xuất kiểm tra xem nó có đang chạy trên một máy được giám sát — như của một nhà phân tích phần mềm độc hại không. Nếu không, nó sẽ chuyển hướng đến một trang landing kit khai thác. Sau khi khai thác, một payload cuối cùng được sử dụng để cung cấp phần mềm độc hại như backdoor, trojan ngân hàng, phần mềm gián điệp, phần mềm đánh cắp tệp và tương tự.
Như bạn có thể thấy, sự khác biệt giữa một hình ảnh sạch và một hình ảnh độc hại khá nhỏ. Đối với một người bình thường, hình ảnh độc hại có thể trông chỉ hơi khác một chút, và trong trường hợp này, sự khác thường có thể được giải thích bằng chất lượng và độ phân giải hình ảnh kém, nhưng thực tế là tất cả những pixel tối được làm nổi bật trong hình ảnh bên phải là dấu hiệu của mã độc.
Không cần phải hoảng loạn
Bạn có thể tự hỏi, liệu các hình ảnh bạn thấy trên mạng xã hội có thể chứa mã nguy hiểm không. Hãy xem xét rằng các hình ảnh được tải lên các trang web mạng xã hội thường được nén và chỉnh sửa rất nhiều, vì vậy sẽ rất khó khăn cho một tác nhân đe dọa để ẩn mã hoàn toàn được bảo quản và hoạt động trong đó. Điều này có thể rõ ràng khi bạn so sánh cách một bức ảnh xuất hiện trước và sau khi bạn đã tải lên Instagram — thường có sự khác biệt rõ ràng về chất lượng.
Quan trọng nhất, việc ẩn pixel RGB và các phương pháp steganography khác chỉ có thể gây nguy hiểm khi dữ liệu ẩn được đọc bởi một chương trình có thể trích xuất mã độc và thực thi nó trên hệ thống. Các hình ảnh thường được sử dụng để che giấu phần mềm độc hại được tải xuống từ các máy chủ điều khiển (C&C) để tránh bị phát hiện bởi phần mềm bảo mật. Trong một trường hợp, một trojan gọi là ZeroT, thông qua các tài liệu Word bị nhiễm kèm theo email, đã được tải xuống các máy tính của nạn nhân. Tuy nhiên, đó không phải là phần thú vị nhất. Điều thú vị là nó cũng tải xuống một biến thể của PlugX RAT (còn gọi là Korplug) — sử dụng steganography để trích xuất phần mềm độc hại từ một hình ảnh của Britney Spears.
Nói cách khác, nếu bạn được bảo vệ khỏi các trojan như ZeroT, thì bạn không cần phải lo lắng quá nhiều về việc sử dụng steganography của nó.
Cuối cùng, bất kỳ mã khai thác nào được trích xuất từ hình ảnh phụ thuộc vào việc các lỗ hổng có tồn tại để khai thác thành công. Nếu hệ thống của bạn đã được vá lỗi, không có cơ hội cho mã khai thác hoạt động; do đó, một ý tưởng tốt là luôn giữ bảo mật mạng, ứng dụng và hệ điều hành của bạn được cập nhật. Việc khai thác bởi các bộ công cụ khai thác có thể được tránh bằng cách chạy phần mềm đã được vá lỗi hoàn toàn và sử dụng một giải pháp bảo mật đáng tin cậy và được cập nhật.
Những quy tắc bảo mật mạng vẫn luôn áp dụng — và nhận thức là bước đầu tiên hướng tới một cuộc sống mạng an toàn hơn.
Bài viết được dịch từ nguồn: https://www.welivesecurity.com/en/malware/malware-hiding-in-pictures-more-likely-than-you-think/
