安全研究员隐藏ZIP,推特上PNG文件中的MP3文件

2021-03-19 10:26:34

新发现的隐写方法可以通过威胁演员利用威胁演员来掩盖在社交媒体平台上托管的照片内的邪恶活动。

安全研究员已经发现了一种用于隐藏在Twitter上发布的便携式网络图形(.png)图像文件内的数据的新型隐性技术,这是一种可以通过威胁演员隐藏的策略来隐藏恶意活动。

研究员David Buchanan本周早些时候在Twitter上传染了他的发现,伴随着照片声明:“保存此图片并将扩展名更改为.zip!”

他在附加到图像的zip / png文件中提供了他的方法的源代码,以及在Github上解释他的方法的帖子。具体而言,Buchanan展示了如何在Twitter上托管的PNG图像中隐藏MP3音频文件和ZIP档案。他解释说,如果虽然Twitter在PNG上传中删除了来自PNG上传的不必要数据,但如果整体图像文件符合避免重新编码的要求,则不会从IDAT块内的缩小流中删除尾随数据。

Buchanan的发现很重要,因为威胁参与者已经找到了数字隐写术,或掩藏媒体内部信息的艺术,一种尤其是用于模糊恶意文件或其他活动的有用方法,包括命令和控制服务器之间的通信。如果他的方法是成功的,它可以在广泛使用的社交媒体平台上给攻击者隐藏托管图像中的另一种方式。

该发现还通过研究人员在网站安全公司Sucuri上的发现,即Magecart攻击者开始隐藏敏感数据,他们在网站上在线浏览信用卡.jpg文件,他们注入恶意代码。

Buchanan解释说,对于模糊文件的图像和隐藏在它们内部的文件,都有一些要求。

“封面图像必须良好压缩,使得压缩的文件大于(宽度*高度) - size_of_embedded_file,”他在他的帖子中写道。 “如果封面图像没有调色板,那么它必须至少有257种独特的颜色(否则,Twitter将优化它以使用调色板)。”

图像上的分辨率最高可达4096 x 4096,尽管Twitter将默认为较低的版本提供大于680 x 680的次要版本,具体取决于某些因素,Buchanan写道。他补充说,图像也不应该有任何不必要的“元数据块”。

对于嵌入式文件,总输出文件大小必须小于可能5MB,但在3MB下保持在安全方面,否则Twitter会将PNG转换为JPEG文件,Buchanan解释说。

此外,如果嵌入式文件是zip,则会自动调整偏移,以便整个文件仍然是一个有效的zip。

“对于任何其他文件格式,您是您自己的,”Buchanan补充道,注意到许多人都会在没有特殊参数的情况下工作,包括PDF和MP3文件。

虽然展示博斯特未下载并遵循Buchanan的说明来展示文件,但BleepingComputer确实并报告了结果。

原始的6KB图像Buchanan推断了他的查找声明,并打开并将其文件格式更改为zip - 包含的源代码,任何人都可以使用该源代码根据报告将杂项内容包装成PNG图像。

布坎南还将另一张照片发布到Twitter,他要求人们下载,重命名为.mp3并在程序vlc中打开“令人惊讶”,根据BleepingComputer。

据报道,一旦打开了图像文件,曾经转入了使用Buchanan的方法的MP3文件,就会开始播放歌曲“永远不会给你”。

Buchanan发布了另一个文件,以证明他的观点,是Bard,William Shakespeare的图像,他说是一个有效的zip存档,其中包含一个多部分rar存档,其中包含了莎士比亚的完整作品。

研究人员称,试图向Twitter的Bug Bounty计划报告这个问题,但被告知它实际上并不是一个错误。 “足够公平,但这只是意味着我们可以与它有一些乐趣,”布坎安推文。

注册此现场活动:0-Day披露:好,坏&丑陋:3月24日下午2点。 ET,ThatpectPost解决脆弱性披露如何对公司带来风险。要讨论,Microsoft 0日在Exchange服务器中找到。加入来自英特尔公司的0日猎人,并将借助于0日经济,并在披露过程中解开0日经济,并解开所有业务的内容。立即注册此Live WebInar于3月24日。