Frage:
Kann Malware an ein Image angehängt werden?
user2143356
2014-04-08 02:39:15 UTC
view on stackexchange narkive permalink

I have a small number of employees who use a company computer but these people aren't very tech savvy. They use an email client and a messaging client.

I'm pretty sure they wouldn't click on .exe or .zip file in an email without thinking, and I know that's one area of concern.

However, I'm thinking about images. In fact, regardless of how capable a person is with technology I believe that attaching things (code or anything else) to an image can be a security risk.

What can be attached to images to harm another?

I believe that images can pose a security risk as they 'automatically execute' or something.

There are so many ways that images can be received by a computer (including phone or tablet of course):

- email- iMessage (or any other messaging app)- someone right-clicking and saving an image from a web page- just viewing a web page of course downloads the image to cache

What precautions do I need to take regarding the above four things? Can someone just attach some code to an image and it execute?

What do I need to do to prevent images being used against my computers?

I'm guessing you couldn't just attach code to an image and iMessage someone's iPhone. What about Android?

Diese Frage scheint sich hauptsächlich an Endbenutzer zu richten.Es kann jedoch erwähnenswert sein, dass Server tatsächlich noch stärker von dieser Art von Angriff betroffen sind, normalerweise über einen Mechanismus zum Hochladen von Bilddateien, da im Gegensatz zu Endbenutzern mit Servern der Angreifer, der die schädliche Datei hochgeladen hat, auch frei ist, diese auszulösenAusführung so, wie er es möchte (Sie müssen nicht warten und hoffen, dass ein Benutzer eine bestimmte Aktion ausführt).Sie können einige Beispiele [hier] (https://security.stackexchange.com/q/32580/32746) und [dort] (https://security.stackexchange.com/q/90968/32746) sowie auf sehenandere verwandte Beiträge.
Neun antworten:
jamesdlin
2014-04-08 06:58:35 UTC
view on stackexchange narkive permalink

The other answers mostly talk about attaching arbitrary code to images via steganographic techniques, but that's not very interesting since it requires that the user be complicit in extracting and executing that. The user could just execute malicious code directly if that's their goal.

Really you're interested in whether there's a possibility of unexpected, arbitrary code execution when viewing an image. And yes, there is such a possibility of an attacker constructing a malicious image (or something that claims to be an image) that targets specific image viewing implementations with known flaws. For example, if an image viewer allocates a buffer and computes the necessary buffer size from a naive width * height * bytes_per_pixel calculation, a malicious image could report dimensions sufficiently large to cause the above calculation to overflow, then causing the viewer to allocate a smaller buffer than expected, then allowing for a buffer overflow attack when data is read into it.

Specific examples:

In general, these sorts of things are difficult to protect against. Some things you can do:

  • Keep your systems and applications updated.
  • Enable DEP.
  • Enable ASLR if possible.
  • Avoid running programs with administrative privileges.
  • On Windows, Microsoft's EMET could also provide some protection.
Dies ist für mich die einzig richtige Antwort. Bei allen anderen Antworten muss der Benutzer absichtlich und böswillig in einer Bilddatei versteckte Malware extrahieren - und das OP sagte, die Benutzer seien nicht technisch versiert, daher ist dies sehr unwahrscheinlich.
Das OP fragte nach Prävention, daher ist es wahrscheinlich auch erwähnenswert, dass das Problem weitgehend verhindert werden kann, indem sichergestellt wird, dass Sicherheitsupdates unverzüglich auf Systeme angewendet werden, und Antivirensoftware auf allen Windows-basierten Systemen installiert wird.
Es gibt nichts "Steganografisches", wenn aufgelistete Schwachstellen ausgenutzt werden.Es ist eher eine RARJPEG-Technik.
@FreeConsulting Hm?Meine Antwort hat nichts mit Steganographie zu tun, und ich habe auch nicht behauptet, dass dies der Fall ist.
"... zu Bildern über steganographische Techniken ..."
@FreeConsulting Dieses Zitat bezog sich auf [einige] (https://security.stackexchange.com/a/55062/43625) der [anderen] (https://security.stackexchange.com/a/55064/43625) veröffentlichten [Antworten] (https://security.stackexchange.com/a/55125/43625).* Meine * Antwort hat nichts mit Steganographie zu tun.
Ja, ich weiß.Es gibt immer noch keinen Grund, mit einer falschen Antwort zu debattieren (im OP-Szenario gibt es keine Partei, die eine stenografische Nachricht erhält).
bob
2014-04-08 05:43:36 UTC
view on stackexchange narkive permalink

Yes, there are ways to 'exploit' buffer overflows.

Sometimes the code may need to be executed via a separate script, and in theory you could assemble a virus from multiple images that contained code hidden within the picture using stenography but there are easier ways.

Basically many computer systems expected images to comply with the exact specification for the type and the failed to correctly range check the formats/parameters being passed.

By 'engineering' an image so that externally it looks like it complies but internally it does not, it was to be possible to trigger stack corruption/buffer overflows that would allow code hidden in an image to be executed under the authority of the user.

But note that this does not ONLY apply to images, it can apply to ANY file, take a look at the recent RTF exploit in MS word.

Matthew Peters
2014-04-08 02:48:38 UTC
view on stackexchange narkive permalink

Sie können Dateien / Programme / alles jederzeit im "Slack Space" einer Datei verstecken. Anschließend können Sie später ein Skript ausführen, um das zu extrahieren und / oder zu kompilieren, was Sie versteckt haben. Beispielsweise können Sie eine schädliche ausführbare Datei (oder ein kleineres Skript) in mehrere Bilder auf einer Website einbetten. Wenn ein Benutzer die Website besucht, lädt er die Bilder herunter.

Erfahren Sie hier mehr über Slack Space: http://www.computerhope.com/jargon/s/slack-space.htm und spielen Sie selbst damit herum, indem Sie sich a schnappen Hex-Editor ( http://mh-nexus.de/en/hxd/) und herumspielen.

Danke, ein paar gute Infos. Was ist mit dem Ausführen des Schadcodes? Ihre Antwort erklärt, wie jemand den Code verstecken könnte. Sicherlich können sie nicht einfach eine EXE-Datei in ein Bild einbetten, und jeder Webbesucher lässt diese Datei ausführen. Ich sehe, dass es für jemanden sehr einfach ist, den Code einzubetten, aber ich kann nicht glauben, dass irgendetwas wohl oder übel läuft. Muss der Hacker etwas spezielles tun, um die Ausführung des Codes auszulösen?
Es gibt zwei grundlegende Möglichkeiten, wie ein Angriff aus dem freien Raum erfolgen kann. Am einfachsten ist es, den wirklich fehlerhaften Code (der am wahrscheinlichsten von einem Virenscanner erkannt wird) im leeren Raum zu speichern und den Code dann mit einer traditionelleren Methode zu "aktivieren". Zum Beispiel könnten Sie zu einer Torrent-Site gehen und nicht direkt einen Virus selbst entfernen, sondern nur die scheinbar harmlose (für Ihren Virenscanner) Torrent-Datei, während Ihr Browser den eigentlichen Virus in all dem Leerraum dieser Bannerwerbung enthält . Die andere Möglichkeit besteht darin, die Aufrufmethode in den 'realen' Bildteil einzubetten.
Hier ist ein schöner Artikel über all die verschiedenen Arten von Slack-Space-Viren und solche http://computervirus.uw.hu/ch04lev1sec2.html Abschnitt 4.2.13.6 ist wahrscheinlich am hilfreichsten bei der Beschreibung meiner zweiten Methode.
Das Einbetten des Aufrufs in den Bildteil funktioniert nicht. Die einzige Möglichkeit, einen solchen Virus auszuführen, besteht darin, den Code im schädlichen Image direkt von einer anderen ausführbaren Datei oder einem anderen Skript aufzurufen.
Kann ich also sicher sein, dass in Bildern, in die alle Arten von Malware eingebettet sein können (Slack Space, EXIF ​​usw.), das Anzeigen und Herunterladen von Bildern meinen Computer nicht infiziert und der Code in diesen Bildern dies muss von einem separaten Skript ausgeführt werden?
@Kotzu, hat insofern Recht, als schädlicher Code nicht ausgeführt werden kann, nur weil das Bild geladen wird (soweit ich weiß). Der Code ist jedoch noch vorhanden und kann von einer beliebigen Anzahl anderer Vektoren aufgerufen werden. Es gab eine Zeit, in der Browser sogar direkte Links zu lokalen Dateien direkt von einer Webseite aus zuließen ... Zum Beispiel konnte 'fehlerhafter Code' im nicht-schwarzen Bereich immer noch gefährlich sein, wenn er ein Problem des legitimen Programms ausnutzt, das das Bild lädt (ähnlich wie Bei einer SQL-Injection könnten Sie einige schlechte Metadaten werfen und von Firefox interpretieren lassen. Um Ihre Frage zu beantworten, würde ich sagen, dass der durchschnittliche Benutzer 90% der Zeit sicher ist.
@MatthewPeters Ob beim Laden des Images schädlicher Code ausgeführt werden kann, ist ein Problem der Implementierungsqualität. Bilddecoder können Fehler aufweisen, die zu Pufferüberläufen führen (die dann zur Codeausführung führen können).
Windows hat seine virusfreundlichen ausführbaren Videos (WMA). Haben sie auch das Image-Äquivalent?
Aber im Netzwerk übertragene Daten haben keinen Durchhang, bis sie in den Speicher geschrieben werden ...
Peteris
2014-04-08 13:55:58 UTC
view on stackexchange narkive permalink

For pretty much any file format, the programs who read it might have some bugs exploitable by a maliciously crafted file.

It can happen (and has happened) also for images; but it'd generally be limited to a single particular program (or library) reading it, not a general "image with malware" that attacks all such programs.

Even text files aren't theoretically safe if the programs try to do something interesting with them. A sql injection in a blog comment post is essentially "malware attached to text"; there was a vulnerability in Python allowing crash (=denial of service) by submitting malicious text data and claiming that it's in UTF-7 encoding, exploiting a bug in that decoder; and there exist attacks based on breaking XML parsers by, again, malicious near-text data.

Ubaidah
2014-04-08 03:01:06 UTC
view on stackexchange narkive permalink

Yes, it is possible to hide malware in an image. It is not very common attack at all but recently it seems that malware authors start hiding malware inside images.

Malware analysis is not my thing. if you want more information search for "Steganography Malware".

One advice is do not open emails from untrusted/unknown source.

user3437670
2014-04-08 09:53:30 UTC
view on stackexchange narkive permalink

Exploits are just that, exploits. Someone finds a vulnerability in some widely used code, and then sets out to set the stage for that vulnerability to do its thing. Let's pretend for example someone out there figured out that some widely-used email client has a bug that leads to a buffer overflow in some specific circumstance. If enough malformed data is fed into the buffer, it overruns onto the stack. Now you can take an image, malformed exactly like it needs to be to cause the buffer overflow, embed into it some malware, and pad the end of the data with a bunch of NOPs and then a clever small assembly routine that get dumped on the stack, which when run points directly to the malware that is already loaded in memory in the image buffer. All a user has to do to get infected is have the malformed image be displayed in the vulnerable application. This is a more common channel of attack in highly specific zero-day exploits.

Remedies to these problems are fortunately easy to apply. Configure the machines to only allow plain-text messages. Make sure you use only well maintained software and apply all updates automatically.

"Konfigurieren Sie die Computer so, dass nur Nur-Text-Nachrichten zugelassen werden" Sie können Malware jedoch problemlos in Nur-Text-Nachrichten einbetten. Sagen wir, Shell-Skripte oder VBScript.
Man Person
2014-04-08 20:03:59 UTC
view on stackexchange narkive permalink

Es gibt Programme, die als Binder bezeichnet werden und normalerweise eine ausführbare Datei an ein Image anhängen. In Bildern gefundene Malware sind in der Regel RATs (Remote Administration Tools), bei denen es sich um Skid-Inhalte handelt, mit denen einige Skids auf Ihren Computer zugreifen. Normalerweise wird dies jedoch nur auf Websites verwendet, auf denen geile Idioten mit diesen Skids sprechen und die Skids so tun, als wären sie ein Mädchen, und ihnen sagen, sie sollen ein Bild herunterladen. Persönlich denke ich, dass es viel bessere Möglichkeiten gibt, Dinge zu verbreiten. Auch die meisten Antivirenprogramme sollten diese "Bindungen" erkennen, selbst wenn das Virus FUD ist (vollständig unentdeckt).

Drunken Code Monkey
2014-04-12 11:17:25 UTC
view on stackexchange narkive permalink

Bei einfachen Textnachrichten wird keines der potenziell gefährlichen oder versteckten Skripte interpretiert oder ausgeführt, wenn der E-Mail-Client nur einfachen Text liest. Es ist nur eine Zeichenfolge für den E-Mail-Client.

user2497
2017-06-08 00:50:49 UTC
view on stackexchange narkive permalink

Es gibt ein Beispiel für eine hier beschriebene Sicherheitsanfälligkeit - vollständige Codeausführung auf Windows-Systemen, wenn Javascript aktiviert war => SVG SNAFU.

Info:

Joshua Yabut, ein anderer Forscher, der auch den Code analysierte, sagte Ars, er nutze einen sogenannten Use-After-Free-Fehler, bei dem JavaScript aktiviert werden muss auf dem anfälligen Computer. Yabut fuhr fort, der Code sei "100% effektiv für die Remotecodeausführung auf Windows-Systemen". Der Exploit-Code, fügte der Forscher hinzu, passt den Speicherort der Nutzdaten basierend auf der ausgenutzten Version von Firefox an. Die Versionen reichen von 41 bis 50, wobei Version 45 ESR die Version ist, die von der neuesten Version des Tor-Browsers verwendet wird. Die Anpassungen sind ein Hinweis darauf, dass die Personen, die den Angriff entwickelt haben, ihn ausgiebig getestet haben, um sicherzustellen, dass er auf mehreren Versionen von Firefox funktioniert. Der Exploit ruft direkt kernel32.dll auf, einen Kernbestandteil des Windows-Betriebssystems. Quelle



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...