研究人员共享用于隐藏〜3MB的数据,如ZIP档案,在Twitter Images中,Twitter说明了较早方法的安全错误奖励

2021-03-18 18:42:23

昨天,研究人员透露了一种隐藏在推特图像内最多三个MB数据的方法。

在演示中,研究人员展示了在Twitter上托管的PNG图像中包含的MP3音频文件和ZIP档案。

虽然隐藏图像中的非图像数据的艺术(隐写术)是新颖的,但是,图像可以在像Twitter这样的流行网站上托管的事实,并且没有消毒,为恶意演员滥用他们的可能性。

昨天,研究人员和程序员David Buchanan附加了示例图像,他的推文有具有整个ZIP档案和隐藏在内的MP3文件等数据。

虽然Twitter上的附加的PNG文件在预览时代表有效图像,但仅仅下载和更改其文件扩展程序足以从同一文件中获取不同的内容。

如BleepingComputer观察到的,研究人员推文的6 kB图像包含整个ZIP存档。

ZIP包含Buchanan'源代码,任何人都可以用来将杂项内容包装成PNG图像。

对于那些更喜欢略少的动手方法的人来说,研究人员还提供了用于生成他在GitHub上称之为Tweetable-Polyglot-PNG文件的源代码。

"下载这个,重命名为.mp3,并在vlc中打开一个惊喜。 (注意:确保下载文件的完整分辨率版本,应为2048x2048px),"研究人员说。

正如BleepingComputer测试的那样,位于Twitter Image Server的图片的大小约为2.5 MB,可以使用A" .mp3"扩大。

一旦打开,图像文件,现在转mp3,就会开始播放歌曲永远不会让你的rick astley。

" Twitter确实压缩了图像,大部分时间,但有一些情景,他们不在那里'"

" Twitter还尝试剥离任何非必需元数据,所以任何现有的' polyglot文件'技术WORN' T工作。"

"我发现的新诀窍是,您可以将数据附加到&#39的末尾;放气'流(存储压缩像素数据的文件的一部分),Twitter不会剥离它,"布坎南在电子邮件采访中告诉BleepingComputer。

隐写技术通常由隐身的威胁演员杠杆,因为它们使他们能够隐藏恶意命令,有效载荷和其他内容,例如图像等惯性文件。

就在昨天,BleepingComputer报告了一种新的exfiltration技术,网络犯罪分子在JPG图像中隐藏着盗窃信用卡数据。

Twitter可能与Buchanan所证明的那样,Twitter可能并不总是从图像中剥离无关信息,以威胁演员开辟了平台的空间'滥用的房间。

此外,额外的挑战是阻止Twitter图像流量可能影响合法操作的额外挑战。

例如,阻止Twitter' s图像域pbs.twimg.com的网络管理员也将导致在Twitter上托管的合法映像被阻止。

据说,布坎南认为他的PNG图像证明技术可能并不特别有用,因为更多的隐喻方法是可行的。

"我认为这种技术对于攻击者特别有用,因为更传统的图像隐喻技术更容易实现(甚至更隐秘)。"

然而,更有可能不是,研究人员所展示的PNG技术可以由恶意软件用于促进其命令和控制C2活动。

"但也许它可以用作C2系统的一部分,用于将恶意文件分配给受感染的主机," Buchanan进一步告诉BleepingComputer。

同样地,因为Twitter可以被网络监视系统被认为是安全主机,所以通过推特使用这种图像文件的恶意软件分布仍然是用于绕过安全程序的可行方法。

"我报告了我的原始JPEG的技巧到Twitter'错误赏金计划,但他们表示它是' ta安全性bug,所以我没有打扰这个' t and# 34;

在2018年的示例中,据BleepingComputer报道,Buchanan推断了包含项目Gutenberg的小型JPG缩略图'巨大的威廉·莎士比亚的完整作品。

以前,攻击者已经滥用合法服务,如Imgur,以举办他们的图像,后来用于计算恶意钴罢工有效载荷。

在发布本文之前,BleepingComputer已达到Twitter进行评论,但我们还没有听过。