如果你下载了一张照片,你会发现有几个大小MB,然后你应该保持警惕。图片可能隐藏压缩文件和Mp3文件。
3研究人员7日,研究人员披露了一项披露Twitter多达3 隐藏在图像中MB数据 *** 。
虽然将非图像数据隐藏在图像中的技术(图像隐写技术)并不新鲜,但图像托管在没有调查的情况下Twitter在主流社交网站上,恶意行为者滥用技术的空间。
在演示中,David Buchanan展示了Twitter上托管的PNG图像中包含的MP3音频文件和ZIP压缩文件。
下载Twitter上图后,只需更改文件扩展名即可获得隐藏内容,如下图所示,图中包含一个ZIP文档。
David Buchanan展示了Twitter上托管的PNG图像中包含ZIP压缩文件
据媒体报道,这个ZIP所谓的源代码可以在文档中生成tweetable-polyglot-png。Buchanan还在Github提供了该技术的源代码。
上传到另一个Twitter上面的例子,Buchanan在推特上发布了一张隐藏MP3文件图片。
“下载此图片,重命名为.mp3,在VLC打开,会有惊喜。”Buchanan表示。
打开后,变成MP3图片文件将开始播放Rick Astley的《Never Gonna Give You Up》。
来源:Bleeping Computering
“Twitter它确实会压缩图片,但在某些情况下不会。它还剥离了任何不必要的元数据,因此任何现有的图像隐写技术都不起作用。但我发现的新技能是,您可以将数据添加到DEFLATE在文件中存储压缩像素数据的末尾,Twitter不会剥离。”Buchanan在电子邮件采访中告诉媒体。
匿名攻击者经常在看似普通的文件中隐藏恶意命令、有效载荷和其他内容,如图像。
几天前,媒体还报道了一种新的渗透技术, *** 犯罪分子利用这种技术隐藏被盗信用卡数据JPG图片中。
正如Buchanan所说,Twitter它可能并不总是剥离图片中的无关信息,这可能会导致攻击者滥用该功能。
Buchanan认为他的PNG图像概念验证技术本身可能不是特别有用,因为有更多的隐藏 *** 是可行的。“我不认为这种技术对攻击者特别有用,因为更传统的图像隐写技术更容易实现(甚至更隐藏)。"
然而,研究人员更有可能展示它PNG恶意软件可用于技术C2活动。
"它可以作为C2将恶意文件分发给感染主机,"Buchanan表示,由于Twitter它可能被 *** 监控系统视为安全主机,因此通过使用此图像文件Twitter传播恶意软件仍然是绕过安全程序的可行 *** 。
Buchanan这个漏洞反映在推特上,“我向Twitter的bug赏金计划报告,但他们说这不是安全的bug。”