Вредоносный код в картинке: киберпреступники и стеганография
Сейчас «читает между строк» говорят про человека, который умеет понимать намеки и скрытые смыслы. Между тем когда-то в буквальном смысле между строк действительно передавали тайные сообщения, написанные невидимыми чернилами. Прием, когда автор послания прячет секретную информацию внутри чего-то на первый взгляд совершенно невинного, называется стеганография и применяется с незапамятных времен.
В отличие от криптографии, которая делает сообщение нечитаемым без знания ключа для расшифровки, задача стеганографии в том, чтобы посторонние вовсе не догадались о существовании сообщения. Как и многие другие методы работы с информацией, сегодня стеганография используется и в цифровых технологиях.
Как работает цифровая стеганография?
Спрятать секретное послание можно практически в любой цифровой объект — текстовый документ, лицензионный ключ, расширение файла. С его помощью можно защитить от копирования уникальный контент ресурса. Один из самых удобных «контейнеров» — медиафайлы (картинки, аудио, видео и так далее). Они обычно достаточно большие по размеру, а значит, и «довесок» может быть не таким маленьким, как в документе Word.
Секретную информацию можно записать в метаданные файла или же прямо в его основное содержимое, например, в картинку. С точки зрения компьютера она представляет собой набор из сотен тысяч точек-пикселей. У каждого пикселя есть «описание» — информация о его цвете. Для формата RGB, который используется в большинстве цветных картинок, это описание занимает в памяти 24 бита. Если в описании некоторых или даже всех точек 1–3 бита будет занято секретной информацией, на картинке в целом изменения будут неразличимы. А за счет огромного числа пикселей всего в изображение вписать можно довольно много данных. На нижних изображениях заметны области с высокой энтропией (высокой плотностью данных) — это и есть внедренное сообщение.
В большинстве случаев прячут информацию в пиксели и извлекают ее оттуда при помощи специальных утилит. Иногда для этой цели пишут собственные скрипты или добавляют нужную функциональность в программы другого назначения. А иногда пользуются готовыми кодами, которых в сети немало.
Как используют цифровую стеганографию?
Применений стеганографии в компьютерных технологиях немало. Прятать текст в картинку, видео или музыкальный трек можно и развлечения ради, и для защиты файла от нелегального копирования.
Скрытые водяные знаки — это тоже пример стеганографии. Однако первое, что приходит в голову, когда речь заходит о тайных посланиях как в физической, так и в цифровой форме, — это разнообразная тайная переписка и шпионаж.
Стеганография — находка для кибершпиона
Интерес злоумышленников к стеганографии был отмечен экспертами по кибербезопасности еще полтора года назад. Тогда в их поле зрения попали по меньшей мере три шпионских кампании, на командные серверы которых отправлялись данные под видом фото и видео. С точки зрения систем безопасности и сотрудников, следящих за исходящим трафиком, ничего подозрительного в том, что в Сеть загружают медиафайлы, не было. На это и рассчитывали преступники.
Еще одна шпионская программа получала команды через картинки. Злоумышленники общались со зловредом при помощи сообщений в твиттере, в которых серьезную информацию ищут в последнюю очередь. Очутившись на компьютере жертвы, зловред открывал опубликованный злоумышленниками пост и извлекал из смешной картинки инструкцию для дальнейших действий. Среди команд, к примеру, были такие:
- сделать скриншот рабочего стола;
- собрать информацию о запущенных процессах;
- скопировать данные из буфера обмена;
- записать имена файлов из указанной папки.
Код в картинке
Вслед за кибершпионами к стеганографии стали чаще прибегать и другие киберпреступники: ведь в медиафайле можно спрятать не просто текст, а кусок вредоносного кода. Это не превращает картинку, музыку или видео в полноценного зловреда, однако позволяет скрыть от антивируса.
Так, злоумышленники распространяли через рекламные сети занятный баннер. Собственно рекламы на нем не было, он выглядел как полоска – небольшой белый прямоугольник. Зато он содержал скрипт, который выполнялся в браузере (в рекламный слот можно загружать скрипты, например, чтобы компании могли собирать статистику о просмотре объявления).
Этот скрипт распознавал цвет пикселей на картинке и записывал его в виде набора букв и цифр. Казалось бы, довольно бессмысленная задача, так как это был просто белый прямоугольник. Однако в глазах программы пиксели были почти белыми, и это «почти» она преобразовывала во вредоносный код, который тут же и исполняла.
Извлеченный из картинки код перенаправлял пользователя на сайт злоумышленников. Там жертву уже ждал троян, притворяющийся обновлением Adobe Flash Player, который затем скачивал другие вредоносные программы.
Обнаружить стеганографию очень трудно
Как отметили на форуме RSA, качественную стеганографию распознать крайне сложно. Избавиться от нее тоже не так-то просто: есть методы, позволяющие вшить сообщение в картинку настолько глубоко, что оно сохранится даже после того, как ее напечатают и снова отсканируют, уменьшат, увеличат или еще как-то отредактируют.
Однако, информацию — в том числе код — из изображений и видео извлекают при помощи специальной программы. То есть сами по себе медиафайлы ничего с вашего компьютера не украдут и на него не загрузят. Так что вы можете обезопасить свое устройство с помощью этих простых правил:
- Не торопитесь открывать ссылки и вложения из электронных писем. Прочтите сообщение внимательно: если адрес отправителя или содержание вызывают у вас сомнения, лучше проигнорируйте его.
- Если вам нужно что-то скачать, пользуйтесь доверенными источниками — например, загружайте приложения из официальных магазинов или с сайтов разработчиков. То же самое верно для фильмов и музыки — не стоит загружать их с неизвестных ресурсов.
- Используйте надежное защитное решение. Даже если оно не распознает код в картинке, то может обнаружить подозрительные действия других модулей вредоносной программы.
По материалам сайтов kaspersky.ru, securelist.ru, habr.com, xakep.ru
Как спрятать вирус в картинку
Добрый вечер, дорогие друзья. Сегодня мы рассмотрим один из самых простых способов маскировки вредоноса. Несмотря на его простоту, он работает и по сей день. С помощью него до сих пор маскируют стиллеры, кейлоггеры и тому подобное. Итак, приступим
1. Создаем папку и перетаскиваем туда нашу картинку и вирус.
2. Переходим на iconvertcom (https://icoconvert.com/) и создаем иконку нашей картинки ( в настройках формата выбирайте от 16×16 до 256×256). Далее кликаем на «Convert ICO» и качаем нашу иконку.
3. Иконку пока не трогаем. Возвращаемся в папку > выделяем картинку и вирус > добавляем в архив.
4. В параметрах архива делаем следующие действия. Нажимаем на «Создать самораспаковывающийся архив» ( вкладка общие) > «Параметры SFX» (вкладка доп.) > Переходим в «Обновление» и кликаем на «извлечь и обновить все файлы» и «перезаписывать все файлы без запроса».
5. Переходим во вкладку «Установка» и прописываем какие файлы должны открыться во время запуска нашего экзешника (сначала картинка, потом вирус)
6. Переходим во вкладку «Режим» и кликаем на «Распаковать во временную папку» и «скрыть все»
6. Переходим во вкладку «текст и графика» и загружаем нашу иконку(значок). Так, мы заменили иконку архива на иконку нашей картинки.
Теперь у нас появился экзешник (exemple.exe) с иконкой нашей фотографии. Как по мне, довольно палевно, поэтому применим одну хитрость.
Переименовываем наш файл, а именно вписываем между названием и точкой «gpj» (exemplegpj.exe). Теперь наводим курсор перед «gpj» , кликаем пкм и выбираем
«вставить управляющий символ Юникода» > Выбираем RLO.
Вот и все, друзья. Наш вирус замаскирован в картинке, а файл имеет вид не exemple.exe , а exemple.jpg
Еще больше таких статей вы можете найти ЗДЕСЬ
ВИРУС В JPG КАРТИНКЕ
Затем заходим на ICO Convert и конвертируем нашу картинку:
- Загружаем
- Upload
- Выделяем ее
- Select none
- Ставим такие настройки и скачиваем
Затем скидываем наш файл, который откроется с картинкой и саму картинку в нашу папку (TheEchoOfFear), выделяем все файлы и добавляем в архив
- Создать самораспаковывающейся архив (SFX)
2. Дополнительно, параметры SFX
4. Установка — В выполнить после распоковки записываем сначала нашу картинку, а затем файл
5. В текст и графика ставим нашу иконку
6. В режимах ставим распаковать во временную папку и скрыть все
У нас получился такой exe с вирусом, надо в названии слово, в котором есть в конце ехе (гугл в помощь) и вместо него написать gpj или другой формат наоборот
Затем ставим курсор перед gpj и вставляем символ юникода RLO
И у нас получилась такая картинка, протестить ее вы можете скачав ее с архива (пароль такой же), она безобидная, но работает
Все вопросы мне в лс
А с вами был BlackAlexYT & X@ker
Статья Создаем фото или файл с вирусом внутри
В данном случай я выбрал метод картинки. Картинку можно использовать любую, но я в качестве примера взял картинку Кроноса(бога времени) он тут будет выступать главным лицом.
Создаем фото с вирусом метод 1
Дальше будет ваш файл который вы будете маскировать под вирус, ваша картинка, а также будут 2 иконки. И так заходим в папку «Collection_OCX» и находим файл «Resgistrator.OCX» открываем и нажимаем регистрация, подождите пока дело дойдёт до конца. Правда будут несколько ошибок, но на них не обращайте внимания.
Закрываем окно и возвращаемся назад. Далее выделяем наш вирус и вашу картинку под которую вы будете его маскировать, нажимаем правую кнопку
winrar – добавить в архив.
Ставим галочку «создать SFX-arxiv», а метод сжатия выбираем максимальный. В разделе «Дополнительно» на параметры SFX, там мы указываем путь для распаковки наших файлов, там где будет картинка И там где будет вирус, ради примера я указал диск “C”
В разделе «Установка», нам первом делом надо скопировать всё название нашей картинки с расширением, дальше нажимаем ENTER и пишем название нашего вируса.
Во вкладке «Режимы» мы ставим галочку «Скрыть всё», а в раздел «Дополнительно» мы не трогаем, раздел «Обновления» мы выбираем 2 пункт везде, извлечь и обновить файлы, перезаписать файлы.
Теперь отправляемся в раздел «Текст и графика» здесь нам потребуются иконки которые я упомянул в начале.
Пишем названия файла которого вам нужен в Google, например (jpg file icon) и находите подходящий для вас. А также есть сервисы которые за вас всё сделают, конвертируют из jpg в ico или из png в ico, так что проблем вы не найдёте при конвертации файлов в формат иконки. :
Ссылка скрыта от гостей
После того как вы нашли пустую иконку какого нибудь графического файла, мы возвращаемся в архив и в разделе «Загрузить значок SFX из файла» нажимаем Обзор и выбираем именноего (нашу иконку).
Маскируем расширение Exe
У нас появляется архив вот такого типа: названия папки.ехе, однако иконка выглядит как будто у нас это графический документ.
Теперь мы с вами будем избавляться от расширения EXE. Как же это сделать ? Нам потребуется программа, где нарисована зелёная капелька (открываем её). Откроется реклама, но вы не обращайте внимания на это, выбираем здесь файл что будет криптовать, в этой графе выбираем тот файл под который мы будем его якобы маскировать (jpg), нажимаем «Change Extension» и ожидаем завершение нашей операции.
Появится файл exe.jpg, здесь у обычного человека ломается логика, ведь если мы выбираем левую часть то у нас выделяется правая часть, всё очень просто расширения поменялось местами с основным текстом.
Создаем фото с вирусом метод 2
- Названия нашего почти скрытого вируса
- Пробел
- Вставляем названия вируса
- Удаляем расширения EXE.
- Зажимаем ALT
- Нажимаем на «+» который находится в блоке NumLock,. У нас открывается наше окошко которое мы с вами свернули и не обращали внимание.
- Здесь мы вписываем команду «202e»
- Жмем Send
- Могут появиться плюсики, (они нам не нужны) удаляем их.
Теперь появился файл который мы создали с расширением jpg, его также можно дополнить некоторыми символами чтоб не было слишком подозрительно.
Можете открыть данный файл, данное изображения будет открываться в течение 2-3 секунд, на экране появится ваша картинка, а то что задали в директорию уже будут файлы которые вы указали(ваш вирус).
Вирус автоматически запустится так что не забудьте его закрыть через диспетчер задач.
Создаем фото с вирусом метод 3
Ну а теперь перейдём к 3 методу, и это будет полезно даже тем просто хочет свои файлы от глаз других на самом видном месте. В нашей директории опять зажимаем SHIFT + нажимаем правый клик мышки, и выбираем раздел «Открыть окно команд», и вписываем здесь вот такую интересную команду:
copy /B file1.jpg+file2.exe result.jpg
File1– названия вашей картинки, либо если будет музыка ставим.mp3
File2 название вашего файла который хотите скрыть, также можете вместо вируса скрыть другой файл и поменяем расширение,
Появится картинка, оно открывается без лишней погрузки, но если мы нажмём правой кнопки и выберем «Открыть с помощью winrar», то здесь у нас будут наш вирус или файл который вы скрыли.