Drucksache: Windows Developer 5.17 - Ein Bild? Ein Exploit? Oder beides?
Im windows.developer 5.17 ist ein Artikel über Stegosploit erschienen, eine Methode, um Exploits samt zugehörigen JavaScript-Code in Bildern zu verbergen.
Dass Schwachstellen in Bilder verarbeitenden Code, z.B. im Webbrowser, über entsprechend präparierte Bilder ausgenutzt werden ist Standard. Wie sollte man diesen Code auch sonst erreichen? Nur waren diese Bilder dann auch in irgend einer Form beschädigt, so dass sie i.A. nicht als harmloses Bild dargestellt wurden. Außerdem war der meist zusätzlich benötigte JavaScript-Code zum Vorbereiten des Angriff für Virenscanner und Co. leicht zu erkennen.
Stegosploit vereint Bild und zugehörige JavaScript-/HTML-Dateien in einer Datei, die als Bild erkannt wird. Dies ist ein interessanter Ansatz zur Verbreitung von Schadsoftware. An den müssen die Schutzmaßnahmen wie Virenscanner etc. natürlich angepasst werden. Aber das sollte kein unüberwindbares Hindernis sein.
Saumil Shah, der Entwickler von Stegosploit, ist der Meinung, dass weder signaturbasierte noch verhaltensbasierte Erkennungsroutinen in der Lage sind, einen Stegosploit-Angriff zu erkennen. Das sehe ich etwas anders.
Signaturbasierte Routinen sind immer darauf angewiesen, dass eine bösartige Datei bereits bekannt ist und ihnen ihre Signatur vorliegt. Ist das aber der Fall, werden sie einen Stegosploit-Exploit genau so erkennen wie jede andere bösartige Datei.
Und was die verhaltensbasierte Analyse betrifft: Da kommt es immer drauf an, welches Verhalten analysiert wird. Überwacht ein Schutzprogramm den Webbrowser, sollte es den Angriff erkennen. Das Dekodieren des steganographisch verborgenen Bit-Streams mit dem Exploit-Code wird vielleicht als harmlos eingestuft, aber spätestens die bösartigen Aktionen des Shellcodes sollten als Angriff erkannt werden. Und eigentlich müsste schon der wiederhergestellte Exploit-Code einen Alarm auslösen, denn zur Zeit werden viele Drive-by-Infektionen mit 0-Day-Exploits auch nur erkannt, weil die Angreifer für die Auslieferung des Exploits altbekannten JavaScript-Schadcode verwenden. Und wenn die Schutzprogramme den erkennen, wehren sie den Angriff natürlich ab. Der davon geladene eigentliche Exploit kommt dadurch gar nicht mehr zum Zuge.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] a) Saumil Shah: "Stegosploit - Exploit Delivery via Steganography and Polyglots"
b) Saumil Shah, Hack in the Box Amsterdam 2015: "Stegosploit: Hacking With Pictures"
c) Saumil Shah, Black Hat Europe 2015: "Stegosploit - Exploit Delivery with Steganography and Polyglots" (Video auf YouTube) - [2] Saumil Shah, Hack.LU 2010: "Exploit Delivery - Tricks and Techniques" (PDF)
- [3] Peter Gramantik, Sucuri Blog: "New iFrame Injections Leverage PNG Image Metadata"
- [4] Drozdova Liudmila, Exploit Database: "Microsoft Internet Explorer 8 / 9 / 10 - CInput Use-After-Free Crash PoC (MS14-035)"
- [5] Alex Long, Black Hat USA 2015: "Graphic Content Ahead: Towards Automated Scalable Analysis of Graphical Images Embedded in Malware" (Video auf YouTube)
Trackbacks