Twitter

Hier, un chercheur a présenté une méthode permettant de masquer jusqu’à trois Mo de données dans une image Twitter.

Dans sa démonstration, le chercheur a montré à la fois des fichiers audio MP3 et des archives ZIP contenus dans les images PNG hébergées sur Twitter.

Bien que l’art de cacher des données non-image dans des images (stéganographie) ne soit pas nouveau, le fait que les images soient hébergées sur un site Web populaire comme Twitter et ne puissent pas être nettoyées ouvre la possibilité qu’elles puissent être utilisées à mauvais escient par des acteurs malveillants.

Une image qui chante …

Hier, chercheur et programmeur David Buchanan approprié Des exemples d’images pour ses tweets, dans lesquels des données telles que des archives ZIP entières et des fichiers MP3 étaient cachées.

Bien que les fichiers PNG joints hébergés sur Twitter soient des images valides lors de la prévisualisation, le simple téléchargement et la modification de l’extension de fichier suffisaient pour obtenir un contenu différent à partir du même fichier.

Twitter hébergeant des images avec ZIP et MP3
Un exemple de fichier image publié par Buchanan sur Twitter contient une archive ZIP
Source: Twitter

Comme observé par BleepingComputer, l’image de 6 Ko du chercheur a tweeté contient une archive ZIP entière.

Le code postal contient le code source de Buchanan que tout le monde peut utiliser pour emballer différents contenus dans une image PNG.

Code postal du code source dans l'image
L’image PNG tweetée par Buchanan a la structure d’un fichier ZIP valide
Source: BleepingComputer

Pour ceux qui préfèrent l’approche un peu moins pratique, le chercheur a également fourni du code source pour générer ce qu’il appelle tweetable-polyglotte-png Fichiers sur GitHub.

Dans un autre exemple téléchargé sur Twitter, Buchanan a tweeté une image qui pouvait chanter.

« Téléchargez-le, renommez-le en .mp3 et, à la surprise générale, ouvrez-le dans VLC. (Astuce: assurez-vous de télécharger la version pleine résolution du fichier, elle devrait faire 2048 x 2048 pixels.) » mentionné Le chercheur.

Telle que testée par BleepingComputer, l’image sur le serveur d’images Twitter ci-dessous fait environ 2,5 Mo et peut être enregistrée avec une extension « .mp3 ».

https://pbs.twimg.com/media/Ewo_O6zWUAAWizr?format=png&name=large

Une fois ouvert, le fichier image, qui est maintenant MP3, commencera à jouer la chanson Je ne t’abandonnerai jamais par Rick Astley.

« Twitter compresse principalement les images, mais il existe des scénarios où ce n’est pas le cas. »

« Twitter essaie également de supprimer toutes les métadonnées non essentielles, c’est-à-dire toutes les métadonnées existantes ‘fichier polyglotte’ Les techniques ne fonctionneraient pas. « 

« La nouvelle astuce que j’ai découverte est que vous pouvez ajouter des données à la fin du ‘.DÉGONFLER« Stream (la partie du fichier où les données de pixels compressées sont stockées) et Twitter ne le supprimeront pas », a déclaré Buchanan BleepingComputer dans une interview par e-mail.

Ouvert aux abus de la part d’acteurs menaçants clandestins

Les techniques de stéganographie sont largement utilisées par les acteurs de la menace furtive car elles leur permettent de masquer des commandes malveillantes, des charges utiles et d’autres contenus dans des fichiers d’apparence normale tels que des images.

Hier encore, BleepingComputer a fait état d’une nouvelle technique d’exfiltration utilisée par les cybercriminels masquer les détails de la carte de crédit volée dans les images JPG.

Le fait que Twitter ne supprime pas toujours les informations superflues d’une image, comme l’a démontré Buchanan, laisse la possibilité aux acteurs de la menace d’abuser de la plate-forme.

De plus, le blocage du trafic d’images Twitter présente un défi supplémentaire qui peut avoir un impact sur les opérations légitimes.

Exemple: un administrateur réseau bloque le domaine d’image de Twitter pbs.twimg.com entraînerait également le blocage des images légitimes hébergées sur Twitter.

Cela étant dit, Buchanan pense que sa technique de preuve de concept d’image PNG peut ne pas être particulièrement utile en elle-même, avec plus de méthodes de stéganographie viables.

« Je ne pense pas que cette technique soit particulièrement utile pour les attaquants car les techniques de stéganographie d’image plus traditionnelles sont plus faciles à mettre en œuvre (et encore plus furtives). »

Très probablement, cependant, la technique PNG démontrée par le chercheur pourrait être utilisée par des logiciels malveillants pour simplifier les activités de gestion et de contrôle C2.

« Mais peut-être qu’il pourrait être utilisé dans le cadre d’un système C2 pour distribuer des fichiers malveillants aux hôtes infectés », a déclaré Buchanan à BleepingComputer.

Étant donné que Twitter peut être considéré comme un hôte sécurisé par les systèmes de surveillance réseau, la diffusion de logiciels malveillants via Twitter à l’aide de ces fichiers image reste une méthode viable pour contourner les programmes de sécurité.

Lorsqu’on lui a demandé si Twitter était au courant de ce bogue, le chercheur de BleepingComputer a déclaré à BleepingComputer:

«J’ai signalé mon truc original basé sur JPEG au programme de prime de bogue de Twitter, mais ils ont dit que ce n’était pas un bogue de sécurité, donc je ne l’ai pas signalé.

Dans son exemple de 2018, Buchanan a tweeté comme rapporté par BleepingComputer une minuscule vignette JPG qui contenait l’immense collection de Project Gutenberg Les œuvres complètes de William Shakespeare.

Tout William Shakespeare travaille en JPG
Les oeuvres complètes de William Shakespeare enregistré dans un petit fichier JPG sur Twitter
Source: BleepingComputer

Jusqu’à présent, les attaquants ont abusé de services légitimes comme Imgur héberger leurs photos qui ont ensuite été utilisés pour calculer les charges utiles malveillantes de Cobalt Strike.

BleepingComputer a contacté Twitter pour un commentaire avant de publier cet article, mais nous n’avons pas encore reçu de réponse.





Source link

Recent Posts