Você pode abusar de imagens do Twitter para ocultar arquivos ZIP e MP3: é assim que

Ontem, um pesquisador revelou um método para esconder até três MB de dados dentro de uma imagem do Twitter.

Em sua demonstração, o pesquisador mostrou tanto arquivos de áudio MP3 quanto arquivos ZIP contidos em imagens PNG hospedadas no Twitter.

Embora a arte de ocultar dados que não sejam imagens em imagens (esteganografia) não seja nova, o fato de as imagens poderem ser hospedadas em um site popular como o Twitter e não serem higienizadas abre a possibilidade de bandidos cometerem abusos.

índice

  1. Uma imagem que canta…
  2. Aberto a abusos por agentes de ameaças furtivos

Uma imagem que canta…

Ontem, o pesquisador e programador David Buchanan anexou imagens de amostra de seus tweets que continham dados como arquivos ZIP completos e arquivos MP3 escondidos.

Embora os anexos PNG hospedados no Twitter representem imagens válidas quando visualizados, basta baixar e alterar a extensão do arquivo para obter conteúdo diferente do mesmo arquivo.

Um arquivo de imagem de amostra postado por Buchanan no Twitter contém um arquivo ZIP dentro
Fonte: Twitter

Como BleepingComputer apontou, a imagem de 6 KB twittada pelo pesquisador contém um arquivo ZIP completo.

O ZIP contém o código-fonte de Buchanan que qualquer pessoa pode usar para compactar vários conteúdos em uma imagem PNG.

A imagem PNG que Buchanan twittou tem a estrutura de um arquivo ZIP válido.
Fonte: BleepingComputer

Para aqueles que preferem a abordagem um pouco menos prática, o pesquisador também forneceu o código-fonte para gerar o que ele chama de arquivo tweetable-polyglot-png no GitHub.

Em outro exemplo postado no Twitter, Buchanan twittou uma imagem que ele poderia cantar.

"Baixe isso, renomeie-o para .mp3 e abra-o no VLC para uma surpresa. (Nota: certifique-se de baixar a versão em resolução total do arquivo, deve ser 2048x2048px)", disse a pesquisadora.

Conforme testado pelo BleepingComputer, a imagem localizada no servidor de imagens do Twitter abaixo tem aproximadamente 2,5 MB de tamanho e pode ser salva com uma extensão ".mp3".

https://pbs.twimg.com/media/Ewo_O6zWUAAWizr?format=png&name=large

Uma vez aberto, o arquivo de imagem, agora convertido para MP3, começará a tocar a música. Nunca vou desistir de Rick Astley .

"O Twitter comprime imagens, na maioria das vezes, mas há alguns cenários em que isso não acontece."

"O Twitter também tenta remover quaisquer metadados não essenciais, portanto, quaisquer técnicas de "arquivo poliglota" de metadados existentes não funcionariam."

"O novo truque que descobri é que você pode adicionar dados ao final do fluxo 'DEFLATE' (a parte do arquivo que armazena os dados de pixel compactados) e o Twitter não o excluirá", disse Buchanan ao BleepingComputer em uma entrevista por e-mail. .

Aberto a abusos por agentes de ameaças furtivos

As técnicas de esteganografia são frequentemente exploradas por ameaças furtivas, pois permitem ocultar comandos maliciosos, cargas úteis e outros conteúdos em arquivos de aparência normal, como imagens.

Ainda ontem, a BleepingComputer relatou uma nova técnica de exfiltração que usava cibercriminosos para ocultar informações de cartão de crédito roubado em imagens JPG.

O fato de o Twitter nem sempre remover informações estranhas de uma imagem, como Buchanan demonstrou, abre espaço para que os agentes de ameaças abusem da plataforma.

Além disso, um desafio adicional é bloquear o tráfego de imagens do Twitter, o que pode afetar as operações legítimas.

Por exemplo, um administrador de rede que bloqueia o domínio da imagem do Twitter. pbs.twimg.com também faria com que imagens legítimas hospedadas no Twitter fossem bloqueadas.

Dito isso, Buchanan acredita que sua técnica de imagem PNG de prova de conceito pode não ser particularmente útil por si só, pois vários métodos de esteganografia podem ser usados.

"Não acho que essa técnica seja particularmente útil para invasores, porque as técnicas mais tradicionais de esteganografia de imagem são mais fáceis de implementar (e até mais furtivas)."

No entanto, é mais provável que a técnica PNG demonstrada pelo pesquisador possa ser usada pelo malware para facilitar suas atividades de comando e controle C2.

"Mas talvez possa ser usado como parte de um sistema C2, para distribuir arquivos maliciosos para hosts infectados", disse Buchanan também ao BleepingComputer.

Da mesma forma, como os sistemas de monitoramento de rede podem considerar o Twitter como um host seguro, a distribuição de malware via Twitter usando esses arquivos de imagem continua sendo um método viável de contornar os programas de segurança.

Quando perguntado se o Twitter estava ciente desse bug, o pesquisador disse ao BleepingComputer:

"Relatei meu hack original baseado em JPEG ao programa de recompensas de bugs do Twitter, mas eles disseram que não era um bug de segurança, então não me preocupei em relatar a eles."

Em seu exemplo de 2018, conforme relatado pelo BleepingComputer, Buchanan twittou uma pequena miniatura JPG contendo a enorme coleção do Projeto Gutenberg. As obras completas de William Shakespeare.

As obras completas de William Shakespeare arquivadas em um pequeno arquivo JPG no Twitter
Fonte: BleepingComputer

Anteriormente, os invasores usavam serviços legítimos como o Imgur para hospedar suas imagens, que eram usadas para calcular a carga maliciosa do Cobalt Strike.

A BleepingComputer entrou em contato com o Twitter para comentar antes de publicar este artigo, mas ainda não recebemos uma resposta.

  • Regulador bancário chileno compartilha CIOs após invasão do Microsoft Exchange
  • Como remover o sublinhado de um hiperlink no Microsoft Word

descubra mais conteúdo

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

O que é uma carga fantasma?

Deixe uma resposta Cancelar resposta

Ir arriba