安基网 首页 资讯 安全报 查看内容

黑客使用 Polyglot 图像隐藏恶意广告活动

2019-2-28 15:17| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: DEVON 安全研究人员追踪到恶意广告攻击活动越来越使用复杂的攻击方式来隐藏 payload。DEVCON 安全研究人员发现至少一个攻击组织通过 polyglot 漏洞利用来分发恶意广告 payload。Polyglot 图像和 Steganographic 图像 ...

DEVON 安全研究人员追踪到恶意广告攻击活动越来越使用复杂的攻击方式来隐藏 payload。DEVCON 安全研究人员发现至少一个攻击组织通过 polyglot 漏洞利用来分发恶意广告 payload。Polyglot 图像和 Steganographic 图像(隐写)的定义很容易混淆,但这两个攻击之间有明显的区别。

隐写漏洞利用使用的是隐藏在图像中的修改像素值。通过修改像素值,人眼无法检测到图像质量的明显变化。但是漏洞利用也需要一些额外的脚本来了解模式和 offset 来找出漏洞利用的像素,然后将这些聚合在可执行 JS 文件中。

Polyglot 漏洞利用的特点是文件可以同时在图像和 JS 文件中。不需要外部脚本就可以提取 payload。但是文件怎么样同时是图像文件又是 JS 文件呢?原理就在于计算机识别这两个文件类型的方式。

下面是计算机读取正常 BMP 文件的情况。需要知道的是攻击者如何将它转换成 polyglot,并利用浏览器。

正常 BMP 图像头部

前两个字节(红色框)是 BMP 图像的 BM 的十六进制表示。接下来的 4 个字节(8A C0 A8 00)表示图像文件的大小。然后是 4 个 null 字节(00 00 00 00),数据偏移量是 ( 8A 00 00 00 ) 。这些字节就给出了计算机正确执行文件需要的主要信息。

下面是 Polyglot BMP 图像文件的 header:

看起来很像。也是以 BM 开始的,大小和数据偏移 offset 也有。攻击者就是利用修改和控制图像的大小和十六进制字符来使计算机将该文件识别为其他文件的。攻击者修改了图像的大小字段就变成了 /**(字符代码)。这些字符加起来就是一个 JS 的注释。JS 备注是用来使 JS 翻译器忽略这些字符串,比如忽略 /* 到 */ 之间的字符串。

下面看一下文件的尾部。

JS 注释是以 */ 结尾的,攻击者然后加入了字符串 = 和 `。攻击者就将文件类型 BM 转成 JS 变量,并设置为另一个高度混淆的 payload。下面解释了 JS 翻译器的原理:

该文件在浏览器中有两种方式运行:

· 会显示给用户一个图片,而会忽略 JS 脚本。

· 会执行有效的 JS,而忽略图像数据。

研究人员已经检测到隐藏在恶意广告 payload 中的漏洞利用。攻击者有一些有创意的图片:

研究人员发现攻击以正常 BMP 文件的方式加载,而在浏览器中是以 JS 的方式加载 BM 变量到内存中,如下图所示:

图像文件的后面部分含有一个解码脚本,该脚本实际上是一个高度混淆的 JS。攻击是分层的,而且使用了一些技术来隐藏恶意活动,并且阻碍逆向工程师找出其真正的工作原理。

上面的脚本都是用下面的这个简单那叫吧来解码的。这会解码会隐藏在 BM 变量中的数据:

下面是解码的 BM 数据。最后解码的脚本并不像我们常见的恶意广告活动中的漏洞利用。它在浏览器中引入了一个 cloudfront 的 url,会将受害者重定向到其他加载 SPIN THE WHELL 类游戏的页面。

最后重定向的结果:

但是这种新的攻击方法其实并不新颖。安全研究人员和渗透测试人员也常使用这种技术来执行 shell 代码和发起服务器攻击。JS/GIF polyglots 是一种围绕服务器安全策略而执行 XSS 攻击的方法。类似的攻击方法已经出现不止一次了。研究人员详细更多的高级攻击组织将会进入恶意广告欺诈攻击活动中。

参考文献:

https://warroom.rsmus.com/bmp-x86-polyglot/

https://en.wikipedia.org/wiki/Gifar

http://stegosploit.info/

https://www.robertxiao.ca/hacking/defcon2018-assembly-polyglot/

https://hackaday.com/2015/11/06/stegosploit-owned-by-a-jpg/

https://ajinabraham.com/blog/bypassing-content-security-policy-with-a-jsgif-polyglot

https://portswigger.net/blog/bypassing-csp-using-polyglot-jpegs

https://www.alchemistowl.org/pocorgtfo/pocorgtfo08.pdf



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://mbd.baidu.com/newspage/data/landingsuper?context={

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部