¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

Las imágenes vivas

Consultas: 869 Comentarios: 2 Ranking: 7

viernes, 12 de abril de 2019

La posibilidad de ocultar el código nocivo imágenes ya no es ningún secreto para nadie. Pero la imagen se necesita solo como un almacén cómodo, y para extraer este código normalmente se necesita otro programa. O, mejor dicho, se necesitaba, hasta hace poco.

En caso de Polyglot un archivo nocivo puede ser una imagen y un código JavaScript al mismo tiempo, y para extraer al programa nocivo no se necesita ningún script extra. Una vez cargada en el navegador, la imagen se convierte en una imagen cifrada que será legible en caso de pasarlo por el descifrador que se ofrece junto con la imagen.

Fuente

El procedimiento del engaño del ordenador puede consultarse aquí.

Vamos a abrir el archivo de formato BMP.

#drweb

Los dos primeros bytes (cuadrado rojo) son una representación hexadecimal de los caracteres BM para la imagen BMP. Estos caracteres se necesitan para que el equipo sepa cómo procesar este archivo, determinan el tipo del archivo. Los siguientes 4 bytes (8A C0 A8 00) – es el tamaño del archivo de la imagen. Luego van 4 bytes cero (00 00 00 00) y de offset de datos (8A 00 00 00). Esto le proporciona al equipo la mayor parte de la información que debe saber para ejecutar correctamente este archivo.

Y ahora vamos a consultar el encabezado del archivo con la técnica Polyglot:

#drweb

Es similar, ¿verdad? El encabezado también empieza con BM. También hay tamaño y offset de datos. El truco es que el malintencionado puede controlar el tamaño de la imagen, y se puede escribir los caracteres hexadecimales para que los mismos se interpreten por el equipo como otra cosa. El malintencionado cambió los bytes responsables del tamaño de la imagen para que los mismos también fueran códigos de caracteres / **. Esta combinación de caracteres indica que hay un comentario JavaScript. Los comentarios de JavaScript se usan para que el interpretador JavaScript ignore todo lo que está entre estos caracteres, es decir, entre / * y * /.

Vamos a ver la parte del exploit que está al final del archivo.

#drweb

Como se esperaba, el comentario de JavaScript termina por * /. Luego el atacante añade los caracteres = y `. De esta forma, el malintencionado convirtió el tipo del archivo BM en una variable JavaScript y le atribuyó otra carga útil, bastante confusa.

El archivo puede ser iniciado en el navegador de dos modos distintos:

  • <img src = "polyglot.jpg" /> – en este caso el navegador visualizará la imagen al usuario e ignorará JavaScript;
  • <script src = "polyglot.jpg"> </ script> – el navegador ejecutará JavaScript e ignorará estas imágenes.

Encuentre un script en el archivo más abajo:

#drweb

#criptografía #JavaScript #exploit

El mundo de antivirus recomienda

Hasta una imagen puede contener un código nocivo y, al ver una imagen inocente, Vd. nunca se percatará de que la infección se produjo por parte de la misma.

Las tecnologías usadas para ocultar la información se desarrollan constantemente, pero las tecnologías de protección también avanzan y no hay protección contra este tipo de amenazas, excepto un antivirus. Instale Dr.Web: gracias al funcionamiento conjunto de tecnologías heurísticas y preventivas no basadas en firmas el mismo proporciona la protección contra las amenazas conocidas y desconocidas.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios