Twitter图片可能被滥用来隐藏ZIP、MP3文件
如果你下载了一张图片,却发现大小有好几MB,那你要警惕了,图片可能藏着压缩文件和Mp3文件。
3月17日,研究人员披露了一种在Twitter图像中隐藏多达3 MB数据的方法。
尽管将非图像数据隐藏在图像中的技术(图像隐写技术)并不新鲜,但不经排查就将图像托管在Twitter之类的主流社交网站上,给了恶意行为者滥用该技术的空间。
在演示中,David Buchanan展示了Twitter上托管的PNG图像中包含的MP3音频文件和ZIP压缩文件。
下载Twitter上的图片后,仅需改变文件扩展名就可以获得隐藏内容,如下图所示,该图片中包含一个ZIP文档。
David Buchanan展示了Twitter上托管的PNG图像中包含ZIP压缩文件
据媒体表示,该ZIP文档中包含源代码,可以生成所谓的tweetable-polyglot-png。Buchanan还在Github上提供了该技术的源代码。
在另一个上传到Twitter上的例子中, Buchanan在推特上发布了一张隐藏MP3文件的图片。
“下载这个图片,重命名为.mp3,在VLC中打开,会有惊喜。”Buchanan表示。
打开后,变成MP3的图片文件就会开始播放Rick Astley的《Never Gonna Give You Up》。
来源:Bleeping Computering
“Twitter确实会对图片进行压缩,但也有一些情况下不会。它也会剥离任何非必要的元数据,所以任何现有的图像隐写技术都不会奏效。但我发现的新技巧,就是你可以将数据追加到'DEFLATE'流(文件中存储压缩像素数据的部分)的末尾,而Twitter不会将其剥离。”Buchanan在邮件采访中告诉媒体。
匿名攻击者经常利用隐写技术,将恶意命令、有效载荷和其他内容隐藏在图像等看似普通的文件中。
前几日,媒体还报道了一种新型渗透技术,网络犯罪分子利用这种技术将被盗的信用卡数据隐藏在JPG图片中。
正如Buchanan所说,Twitter可能并不总是将无关信息从图片中剥离出来,这一事实可能导致攻击者滥用该功能。
Buchanan认为他的PNG图像概念验证技术本身可能并不是特别有用,因为还有更多的隐蔽方法是可行的。“我不认为这种技术对攻击者特别有用,因为更多传统的图像隐写技术更容易实现(甚至更隐蔽)。"
然而,更有可能的是,研究人员展示的PNG技术可能被恶意软件用于C2活动。
"它可以作为C2系统的一部分,用于向受感染的主机分发恶意文件,"Buchanan表示,由于Twitter可能被网络监控系统认为是一个安全的主机,因此利用这种图像文件通过Twitter传播恶意软件仍然是绕过安全程序的可行方法。
Buchanan向推特反应了该漏洞,“我向Twitter的bug赏金计划报告,但他们说这不是一个安全bug。”