現今的資訊安全軟件已經相當強大,能夠偵測出大部分可疑檔案。然而,隨著企業對於提升安全性的意識日益增強,黑客也在不斷尋求新的方式來逃避偵測。其中一種技術,是將惡意軟件隱藏在圖片或相片中。
這聽起來有些離奇,但事實上是相當普遍的情況。將惡意軟件嵌入不同格式的圖片,屬於隱寫術(Steganography)的應用之一。隱寫術是一種可以將資料隱藏在檔案中,以避免偵測的技術。ESET 研究團隊發現,Worok 黑客組織正在使用這種技術,將惡意程式碼隱藏在圖片檔案中,僅通過提取特定的像素資訊來執行載荷。需要注意的是,這種方法通常在已經受到入侵的系統上進行,因為將惡意軟件隱藏在圖片中,更多是為了逃避偵測,而不是進行初始入侵。
將惡意程式碼嵌入圖片中的常見方法有兩個:使用每個像素的最不顯著位元(RGBA 值的最低位元)來隱藏一小段訊息;或將內容嵌入圖片的透明通道(表示顏色的不透明度),只使用相對不重要的部分。這樣一來,圖片外觀上基本與正常圖片相同,使得任何差異都難以肉眼察覺。
舉個例子,合法的廣告網絡可能會提供從受感染的伺服器發送惡意橫幅的情況。從橫幅中提取出 JavaScript 程式碼,利用 Internet Explorer 某些版本中的 CVE-2016-0162 漏洞,以獲取有關目標的更多資訊。
這兩張圖片可能看起來相同,但其中一張在像素的透明通道中包含惡意程式碼。請注意,右邊的圖片看起來異常且像素化。(來源:ESET 研究團隊)
從圖片中提取的惡意載荷可以用於多種目的。在上述的 Internet Explorer 漏洞案例中,提取的腳本將檢查是否在受監控的機器上運行,例如用於惡意軟件分析的機器。如果不是,它將重定向到一個利用工具的登錄頁面。在成功利用後,最終載荷將用於傳送各種惡意軟件,例如後門程式、銀行木馬、間諜軟件、檔案竊取程式等等。
當你在社交媒體上看到圖片時,你可能擔心其中是否可能含有危險的代碼。然而,需要考慮到上傳到社交媒體網站的圖片通常會被大幅壓縮和修改,因此對於黑客來說,要在其中隱藏完整且可運行的代碼將是非常困難的。如果你比較一張照片在上傳到 Instagram 之前和之後的外觀,通常會有明顯的質量差異,這一點或許是很明顯的。
最後,從圖片中提取的任何漏洞利用代碼,都依賴於存在的漏洞來執行。如果您的系統已經更新,那麼漏洞就無法生效。因此,時刻保持你的網絡保護、應用程式和操作系統更新是一個良好習慣。運行已完全更新的軟件,並使用可靠的安全解決方案,可以避免此類漏洞的風險。
關於Version 2
Version 2 是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。
