[Ребиллер]

Картинки формата PNG всегда несли опасность как для владельцев сайтов так и для простых интернет-обывателей своей возможностью работать контейнером для лишней информации, а значит переносить реальные метаданные

Это структурированные данные, представляющие собой характеристики описываемых сущностей для целей их идентификации, поиска, оценки, управления ими

Проще говоря - это бомба с дистанционным механизмом которая выжидает своего времени, когда какое-то условие или действие приведет ее в ход

Недавно группа исследователей обнаружили новый способ использования уязвимости PNG формата и javascript для iframe инъекций компьютера пользователя. Техника выполнения настолько уникальна что выявить ее доступными сканерами просто невозможно, поскольку метаданные хранятся отдельно от самого исполнительного кода, глубоко в недрах PNG изображения.

Peter Gramantik описал всю суть в своем блоге

Попробую и я ввести вас в курс дела. Итак что же такое эта Iframe инъекция?
Начнем с того что iframe сейчас как и раньше популярный способ вставки кода с чужого сайта(страницы) на своем сайте. Он поддерживается всеми браузерами и есть на 90% сайтов. Самый простой пример - реклама Adsense.

Это на руку злоумышленникам, поскольку для того что бы использовать вирус ему не надо иметь доступа к сайту "донору". Изменяется код на выводимой в iframe странице и все. Выглядит это примерно так

Новый же способ - плавающий фрейм. Уникальность не в использовании тега iframe, а в том что часть кода была спрятана в недрах PNG изображения.

Вы скажете что это не новый способ, но погодите, детали дальше.

Сам фрейм ничего плохого не делал, он подгружал просто Javasript, который использовал для компактности популярную и безопасную библиотеку jquery.js ,и с первого взгляда был безопасным и не нес никакой угрозы

Сначала этот код их озадачил, поскольку ничего критичного в нем не нашли, но чувство опасности не оставляло "исследователей". Подозрение вызвала маленькая функция LoadFile (), которая подгружала внешний файл. Естественно его открыли

Первое ваше мнение? Конечно же "что за хрень", и закрыли файл. Так же сделали и они. Код решили проверить чуть ли не по буквах. И вот она новая загадка - цикл декодирования

Подозрительным стало то что декодировали изображение, поэтому решено было отдебагить этот процесс. И вот что они увидели в результате

Вот оно, то ради чего было потрачено столько времени. Теперь и вы явно видите код вставки плавающего iframe в ваш белый и пушистый сайт с вредоносным кодом. Вы никогда не увидите этот блок, потому что он физически находится за пределами экрана - elm.style.position.left и elm.style.position.top, с абсолютным позиционированием, что не создает скроллбаров, а вот ваш браузер увидит. Интересная и миленькая фишечка для создания SEP атак.

В чем же уникальность? А вот как раз в этой картинке

Все современные сканеры остановятся на яваскрипте и не будут собирать весь код по хлебным крошкам. Сейчас уязвимость нашли в png файле, но кто гарантирует что вскоре эту технику не переключат на остальные графические форматы? Именно поэтому вы должны быть в курсе что и когда было загружено на ваш сервер и когда были сделаны какие-то изменения, чтоб вовремя остановить злоумышленников. Поскольку найти такие уязвимости простому обывателю просто не по силе. А сканеры еще не скоро перейдут на анализ графики в соединении с яваскриптом.

Кстати сайт на который ведет этот фрейм базируется в России и по данным Google Safe Browsing advisory содержит два вида троянов что за последние 90 дней заразили более 1000 сайтов.

[Jungle]

Насколько я понимаю, то png рисунки с "левым" кодом могут быть не битыми? А как тогда вычислить зараженные файлы?

[Geek]

Идея не нова, тот же принцип троянца, только уже хитрожопого, который лезет через невидимый ифрейм, а главное сфера применения этого метода настолько обширна, что тот же Фейсбук или в ВК захлебнутся от спама или ещё чего, когда начнут эту уязвимость использовать массово скрипткиддисы

[Lucifer]

Хакеры интеллектуалы, удивляюсь их трудолюбию копаться во всех этих двоичных кодах, тратить на это время и в основном бессонные ночи, сидят за компьютерами как вкопанные, а жизнь уходит мимо - бытует мнение что многие из них болеют редкой болезнью, которая только в основном поражает хакеров - аутизм

[Geek]

Во вспомнил одного хакера из мира ФО, который кстати знаменит, но сидит - основатель торрент-трекера Пиратской бухты(The Pirate Bay) Готфрид Свартхольм - http://rebill.me/showthread.php?t=2574

[GLUK]

Ну и где все службы IT-безопасности, очередной раз вижу их импотенцию против тех кто как рыба в воде в своей ипостаси и работает за идею, а не зарплату, вот когда у киберармии будет подобного рода стимул, тогда возможно мы и заживём безопасно, а пока мы будем дальше страдать от вирусов, а те кто с этим должен бороться будут получать зарплату вышесреднего

[Матрос]

Сообщение от Inferno Насколько я понимаю, то png рисунки с "левым" кодом могут быть не битыми?

Нет, не битыми они не могут быть, потому что в коде нету свободного места для содержания вредоносного кода. Для того чтобы внести туда информацию, какую-то информацию надо удалить. В зависимости от типа файла это может быть или один из цветов палитры (bmp) файл такое позволяет, или дополнительный код который будет виден как полоска в png, gif. но это такая кропотливая работа, что не могу оценить кто-бы мог такое сделать.

Как правило, это делается сейчас не вручную а с помощью программ цена которых от 200 до 1000 долларов стоит. jpeg в этом плане самый неподходящий - у него такой типа загрузки что сначала считывается весь контент и лишь потом выводится картинка, а значит сканер обнаружит код еще до его выполнения. НУ а способ о котором написал ТС это вообще нонсен, додумался же кто-то

[Ребиллер]

Сообщение от GLUK Ну и где все службы IT-безопасности, очередной раз вижу их импотенцию против тех кто как рыба в воде в своей ипостаси и работает за идею, а не зарплату

Вот тут вы правы - такие гениальные идеи рождаются спонтанно и, как правило, их генерируют любители своего дела. Интересно как будут чесать репу разработчики антивирусов теперь . Javascript вышел на такой уровень, что в умелых руках представляет опасности не менее чем php код

[ShadY]

А при загрузке картинки на сайт через админку есть вероятность таким образом заразить сайт?

[Ребиллер]

ShadY, Смотря какой тип загрузки используется. Если просто перенос то да, есть вероятность заражения, а если рисунок пересоздаеться то вероятности нету, поскольку код будет поврежден, но при этом может повредиться и сам рисунок