-
Ajouter aux favoris
Images vivantes
mercredi 17 avril 2019
La possibilité de cacher un code malveillant dans des images n’est plus un secret. Mais une image sert à stocker un code, et pour l'extraction du code, un autre programme est requis. Ou bien, un autre programme était requis, jusqu'à récemment.
Dans le cas de Polyglot, un fichier malveillant peut être une image et un code JavaScript en même temps, de sorte qu'aucun autre outil ne sera nécessaire pour extraire le malware. Une fois téléchargée dans le navigateur, une image est transformée en un message dont le sens devient clair lorsqu'on le fait passer via un décodeur fourni avec l'image.
La procédure permettant de déjouer l'ordinateur est décrite ici .
Ouvrons un fichier BMP.
Les deux premiers octets (carré rouge) est une représentation hexadécimale des caractères BM pour une image BMP. Ces caractères sont nécessaires pour que l'ordinateur sache comment traiter le fichier, ils déterminent le type de fichier. Les 4 octets suivants (8A C0 A8 00) désignent la taille du fichier de l'image. Ils sont suivis de 4 octets à zéro (00 00 00 00) et des données de décalage (8A 00 00 00). Cela donne à l'ordinateur la plupart des informations dont il a besoin pour exécuter ce fichier correctement.
Regardez maintenant l'en-tête d'un fichier utilisant la technique Polyglot :
pareil, n'est-ce pas ? L'en-tête commençant par BM. La taille et les données de décalage sont également présentes. L'astuce réside dans le fait qu'un attaquant peut contrôler la taille de l'image tandis que les caractères hexadécimaux peuvent être inscrits de telle sorte qu'ils soient interprétés par l'ordinateur comme autre chose. Le pirate a modifié les octets relatifs à la taille de l'image pour qu'ils soient également les codes des caractères / **. Cette combinaison de symboles indique la présence d'un commentaire JavaScript. Les commentaires JavaScript sont utilisés pour que l'interpréteur JavaScript ignore tout ce qui se trouve entre ces symboles, autrement dit entre / * et * /. Regardons la partie de l'exploit située à la fin du fichier.
Comme prévu, le commentaire JavaScript se termine par * /. Puis l'attaquant ajoute les symboles = et '. Ainsi, l'attaquant a transformé le type de fichier BM en une variable JavaScript et lui a attribué une autre charge utile.
Le fichier peut être lancé dans le navigateur de deux façons différentes :
- <img src = "polyglot.jpg" /> – dans ce cas, le navigateur affiche l'image à l'utilisateur et ignore JavaScript;
- <script src = "polyglot.jpg"> </ script> – le navigateur va exécuter JavaScript et ignorera les données de l'image.
Trouvez un script dans le fichier ci-dessous !
Le projet Lumières sur la sécurité recommande
Un code malveillant peut être contenu même dans une image, et en regardant une image ordinaire, vous ne devinerez jamais que c'est à cause de cette image que l'OS a été contaminé.
Les technologies permettant de masquer les fonctionnalités malveillantes sont en constante évolution, mais les technologies de protection, elles aussi, évoluent et se modernisent sans cesse. Seul l'antivirus est en mesure de protéger contre ce type de menaces. Installez Dr.Web : grâce à l'utilisation d'un ensemble de technologies heuristiques, comportementales et préventives sans signatures, il est capable d'assurer une protection contre toute menace connue et inconnue.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 0 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
razgen
00:40:05 2019-04-18
Bernard
15:28:22 2019-04-17
Il est nécessaire d'avoir une sécurité informatique complète pour assister efficacement l'utilisateur mais comme l'a dit Mr Boris Sharov la première des défenses d'un antivirus est d'abord que lui même soit suffisamment auto-protégé pour éviter qu'il soit désactivé et permettre alors toute entrée malveillante -même déjà répertoriée- sans en être averti.
Неуёмный Обыватель
12:09:28 2019-04-17