安全動態(tài)

Twitter圖片可能被濫用來隱藏ZIP、MP3文件

來源:聚銘網絡    發(fā)布時間:2021-03-19    瀏覽次數:
 

信息來源:Freebuf


如果你下載了一張圖片,卻發(fā)現(xiàn)大小有好幾MB,那你要警惕了,圖片可能藏著壓縮文件和Mp3文件。

3月17日,研究人員披露了一種在Twitter圖像中隱藏多達3 MB數據的方法。

盡管將非圖像數據隱藏在圖像中的技術(圖像隱寫技術)并不新鮮,但不經排查就將圖像托管在Twitter之類的主流社交網站上,給了惡意行為者濫用該技術的空間。

在演示中,David Buchanan展示了Twitter上托管的PNG圖像中包含的MP3音頻文件和ZIP壓縮文件。

下載Twitter上的圖片后,僅需改變文件擴展名就可以獲得隱藏內容,如下圖所示,該圖片中包含一個ZIP文檔。

David Buchanan展示了Twitter上托管的PNG圖像中包含ZIP壓縮文件

據媒體表示,該ZIP文檔中包含源代碼,可以生成所謂的tweetable-polyglot-png。Buchanan還在Github上提供了該技術的源代碼。

在另一個上傳到Twitter上的例子中, Buchanan在推特上發(fā)布了一張隱藏MP3文件的圖片。

“下載這個圖片,重命名為.mp3,在VLC中打開,會有驚喜?!盉uchanan表示。

打開后,變成MP3的圖片文件就會開始播放Rick Astley的《Never Gonna Give You Up》。

來源:Bleeping Computering

“Twitter確實會對圖片進行壓縮,但也有一些情況下不會。它也會剝離任何非必要的元數據,所以任何現(xiàn)有的圖像隱寫技術都不會奏效。但我發(fā)現(xiàn)的新技巧,就是你可以將數據追加到'DEFLATE'流(文件中存儲壓縮像素數據的部分)的末尾,而Twitter不會將其剝離?!盉uchanan在郵件采訪中告訴媒體。

匿名攻擊者經常利用隱寫技術,將惡意命令、有效載荷和其他內容隱藏在圖像等看似普通的文件中。

前幾日,媒體還報道了一種新型滲透技術,網絡犯罪分子利用這種技術將被盜的信用卡數據隱藏在JPG圖片中。

正如Buchanan所說,Twitter可能并不總是將無關信息從圖片中剝離出來,這一事實可能導致攻擊者濫用該功能。

Buchanan認為他的PNG圖像概念驗證技術本身可能并不是特別有用,因為還有更多的隱蔽方法是可行的?!拔也徽J為這種技術對攻擊者特別有用,因為更多傳統(tǒng)的圖像隱寫技術更容易實現(xiàn)(甚至更隱蔽)。"

然而,更有可能的是,研究人員展示的PNG技術可能被惡意軟件用于C2活動。

"它可以作為C2系統(tǒng)的一部分,用于向受感染的主機分發(fā)惡意文件,"Buchanan表示,由于Twitter可能被網絡監(jiān)控系統(tǒng)認為是一個安全的主機,因此利用這種圖像文件通過Twitter傳播惡意軟件仍然是繞過安全程序的可行方法。

Buchanan向推特反應了該漏洞,“我向Twitter的bug賞金計劃報告,但他們說這不是一個安全bug?!?


 
 

上一篇:安全研究發(fā)現(xiàn)71%的Office 365用戶遭遇惡意賬戶接管

下一篇:2021年3月19日聚銘安全速遞