Простой загрузки и изменения расширения изображений достаточно для получения разного содержимого из одного и того же файла.
Исследователь безопасности Дэвид Бьюкенен (David Buchanan) рассказал о методе, с помощью которого можно скрыть до трех мегабайт данных внутри изображений в социальной сети Twitter. В ходе своей демонстрации специалист показал, как можно внедрить аудиофайлы в формате MP3 и архивы в формате ZIP в PNG-изображения.
Хотя прикрепленные PNG-файлы, опубликованные в Twitter, представляют собой настоящие изображения при предварительном просмотре, простой загрузки и изменения их расширения было достаточно для получения разного содержимого из одного и того же файла.
Исследователь опубликовал исходный код для создания подобных файлов, получивших название tweetable-polyglot-png, на платформе GitHub.
Как пояснил эксперт, Twitter сжимает изображения большую часть времени, но в некоторых случаях этого не происходит. Платформа также пытается удалить все лишние метаданные, чтобы любые существующие методы «polyglot file» не работали. Новый способ, который обнаружил исследователь, заключается в том, что можно добавлять данные в конец потока «DEFLATE» (часть файла, в котором хранятся сжатые данные пикселей), и Twitter не будет их удалять.
Хотя способы скрытия данных в изображениях не являются чем-то новым, тот факт, что такие изображения могут размещаться на популярном web-сайте и не подвергаться проверке, открывает возможность для злоупотреблений со стороны злоумышленников. Киберпреступники часто используют подобные методы, поскольку они позволяют им скрывать вредоносные команды, полезную нагрузку и другой контент в обычных файлах.
Как предполагает Бьюкенен, его метод может быть не особенно полезен, поскольку другие способы сокрытия данных являются более надежными и простыми. Однако вполне возможно, что продемонстрированный экспертом способ может быть использован вредоносными программами для упрощения командных и управляющих действий C&C-сервера.
02-04-2025, 05:35 PM
Linear Mode
