Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Hôtes indésirables

Незваные гости

D'autres publications de cette rubrique (26)
  • Ajouter aux favoris
    Ajouter aux favoris

Images vivantes

Lu par: 432 Commentaires: 3 Cote de popularité: 8

La possibilité de cacher un code malveillant dans des images n’est plus un secret. Mais une image sert à stocker un code, et pour l'extraction du code, un autre programme est requis. Ou bien, un autre programme était requis, jusqu'à récemment.

Dans le cas de Polyglot, un fichier malveillant peut être une image et un code JavaScript en même temps, de sorte qu'aucun autre outil ne sera nécessaire pour extraire le malware. Une fois téléchargée dans le navigateur, une image est transformée en un message dont le sens devient clair lorsqu'on le fait passer via un décodeur fourni avec l'image.

Source

La procédure permettant de déjouer l'ordinateur est décrite ici .

Ouvrons un fichier BMP.

#drweb

Les deux premiers octets (carré rouge) est une représentation hexadécimale des caractères BM pour une image BMP. Ces caractères sont nécessaires pour que l'ordinateur sache comment traiter le fichier, ils déterminent le type de fichier. Les 4 octets suivants (8A C0 A8 00) désignent la taille du fichier de l'image. Ils sont suivis de 4 octets à zéro (00 00 00 00) et des données de décalage (8A 00 00 00). Cela donne à l'ordinateur la plupart des informations dont il a besoin pour exécuter ce fichier correctement.

Regardez maintenant l'en-tête d'un fichier utilisant la technique Polyglot :

#drweb

pareil, n'est-ce pas ? L'en-tête commençant par BM. La taille et les données de décalage sont également présentes. L'astuce réside dans le fait qu'un attaquant peut contrôler la taille de l'image tandis que les caractères hexadécimaux peuvent être inscrits de telle sorte qu'ils soient interprétés par l'ordinateur comme autre chose. Le pirate a modifié les octets relatifs à la taille de l'image pour qu'ils soient également les codes des caractères / **. Cette combinaison de symboles indique la présence d'un commentaire JavaScript. Les commentaires JavaScript sont utilisés pour que l'interpréteur JavaScript ignore tout ce qui se trouve entre ces symboles, autrement dit entre / * et * /. Regardons la partie de l'exploit située à la fin du fichier.

#drweb

Comme prévu, le commentaire JavaScript se termine par * /. Puis l'attaquant ajoute les symboles = et '. Ainsi, l'attaquant a transformé le type de fichier BM en une variable JavaScript et lui a attribué une autre charge utile.

Le fichier peut être lancé dans le navigateur de deux façons différentes :

  • <img src = "polyglot.jpg" /> – dans ce cas, le navigateur affiche l'image à l'utilisateur et ignore JavaScript;
  • <script src = "polyglot.jpg"> </ script> – le navigateur va exécuter JavaScript et ignorera les données de l'image.

Trouvez un script dans le fichier ci-dessous !

#drweb

#cryptographie #JavaScript #exploit

Dr.Web recommande :

Un code malveillant peut être contenu même dans une image, et en regardant une image ordinaire, vous ne devinerez jamais que c'est à cause de cette image que l'OS a été contaminé.

Les technologies permettant de masquer les fonctionnalités malveillantes sont en constante évolution, mais les technologies de protection, elles aussi, évoluent et se modernisent sans cesse. Seul l'antivirus est en mesure de protéger contre ce type de menaces. Installez Dr.Web : grâce à l'utilisation d'un ensemble de technologies heuristiques, comportementales et préventives sans signatures, il est capable d'assurer une protection contre toute menace connue et inconnue.

Evaluez les publications et recevez des Dr.Webonus ! (1 voix = 1 Dr.Webonus)

Authentifiez-vous et recevez 10 Dr.Webonus pour un lien vers une publication du projet dans un réseau social.

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

10 Dr.Webonus pour un commentaire publié le jour de la sortie d’une news ou 1 Dr.Webonus un autre jour. Les commentaires sont automatiquement publiés et modérés après. Règles de commentaires de news sur le site de Doctor Web.

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs