Skip to content

Drucksache: Windows Developer 5.17 - Ein Bild? Ein Exploit? Oder beides?

Im windows.developer 5.17 ist ein Artikel über Stegosploit erschienen, eine Methode, um Exploits samt zugehörigen JavaScript-Code in Bildern zu verbergen.

Dass Schwachstellen in Bilder verarbeitenden Code, z.B. im Webbrowser, über entsprechend präparierte Bilder ausgenutzt werden ist Standard. Wie sollte man diesen Code auch sonst erreichen? Nur waren diese Bilder dann auch in irgend einer Form beschädigt, so dass sie i.A. nicht als harmloses Bild dargestellt wurden. Außerdem war der meist zusätzlich benötigte JavaScript-Code zum Vorbereiten des Angriff für Virenscanner und Co. leicht zu erkennen.

Stegosploit vereint Bild und zugehörige JavaScript-/HTML-Dateien in einer Datei, die als Bild erkannt wird. Dies ist ein interessanter Ansatz zur Verbreitung von Schadsoftware. An den müssen die Schutzmaßnahmen wie Virenscanner etc. natürlich angepasst werden. Aber das sollte kein unüberwindbares Hindernis sein.

Saumil Shah, der Entwickler von Stegosploit, ist der Meinung, dass weder signaturbasierte noch verhaltensbasierte Erkennungsroutinen in der Lage sind, einen Stegosploit-Angriff zu erkennen. Das sehe ich etwas anders.

Signaturbasierte Routinen sind immer darauf angewiesen, dass eine bösartige Datei bereits bekannt ist und ihnen ihre Signatur vorliegt. Ist das aber der Fall, werden sie einen Stegosploit-Exploit genau so erkennen wie jede andere bösartige Datei.

Und was die verhaltensbasierte Analyse betrifft: Da kommt es immer drauf an, welches Verhalten analysiert wird. Überwacht ein Schutzprogramm den Webbrowser, sollte es den Angriff erkennen. Das Dekodieren des steganographisch verborgenen Bit-Streams mit dem Exploit-Code wird vielleicht als harmlos eingestuft, aber spätestens die bösartigen Aktionen des Shellcodes sollten als Angriff erkannt werden. Und eigentlich müsste schon der wiederhergestellte Exploit-Code einen Alarm auslösen, denn zur Zeit werden viele Drive-by-Infektionen mit 0-Day-Exploits auch nur erkannt, weil die Angreifer für die Auslieferung des Exploits altbekannten JavaScript-Schadcode verwenden. Und wenn die Schutzprogramme den erkennen, wehren sie den Angriff natürlich ab. Der davon geladene eigentliche Exploit kommt dadurch gar nicht mehr zum Zuge.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!