ESET16.04.24

תוכנות לאבטחת סייבר פיתחו עם השנים יכולת מרשימה לזיהוי קבצים חשודים, ועם העלייה במודעות לצורך בחיזוק מערך האבטחה באמצעות שכבות הגנה נוספות, אלו הפכו להכרחיות.

ככלל, כל תוכנת אבטחת סייבר חזקה מספיק כדי לזהות את מרבית הקבצים הזדוניים. לכן, גורמים זדוניים ממשיכים לחפש דרכים שונות להימנעות מזיהוי, ואחת מהטכניקות האלה היא שימוש בנוזקות המוסוות בתמונות.

נוזקות מוסתרות בתמונות

זה אולי נשמע כמו הגזמה, אך האיום הזה אמיתי לחלוטין. נוזקות המוסוות בתמונות בפורמטים שונים של קבצים הן תוצאה של סטגנוגרפיה, טכניקה להסתרת נתונים בתוך קובץ על מנת להימנע מזיהוי. גוף המחקר של ESET זיהה שימוש בטכניקה הזאת ע״י קבוצת ריגול הסייבר Worok, שהסתירה קוד זדוני בקבצי תמונה והתייחסה למידע מפיקסלים ספציפיים בלבד כדי לייצא מתוכם את הקוד הזדוני. חשוב לציין שזה נעשה במערכות שכבר נפרצו, מכיוון שכפי שכבר צוין, הסוואת נוזקות בתוך תמונות משמשת בעיקר להימנעות מזיהוי ולא לקבלת גישה ראשונית.

במרבית המקרים, תמונות זדוניות מופצות באתרי אינטרנט או מוכנסות למסמכים. חלקנו אולי זוכרים את נוזקות הפרסום (Adware): קוד שמוחבא בפרסומות. הקוד לא יכול לרוץ, לפעול או להיחלץ מתוך הקובץ באופן עצמאי, על המחשב צריכה להיות נוזקה נוספת שמטפלת בחילוץ הקוד הזדוני והרצתו. מידת המעורבות הנדרשת מהמשתמש משתנה בין מקרה למקרה, והסיכוי לזיהוי הפעילות הזדונית ע״י המשתמש תלוי בעיקר בקוד המופעל ולא בתמונה עצמה.

החלקים הכי פחות חשובים

אחת מהדרכים היצירתיות ביותר להטמעת קוד זדוני בתמונה הוא החלפת הביטים הכי פחות חשובים בערך הצבע של כל פיקסל (אדום-ירוק-כחול-אלפא, או RGBA) בחלקים קטנים מהמסר כולו. טכניקה נוספת היא הטמעה של דבר מה בערוץ האלפא של תמונה (שמציין את מידת השקיפות של צבע מסוים), תוך שימוש בחלק לא משמעותי יחסית מהקובץ כולו. כך, התמונה נראית פחות או יותר כמו התמונה המקורית, כך שלעין בלתי-מזוינת יהיה קשה לזהות הבדל כלשהו בין התמונה הזאת לתמונה המקורית.

דוגמה אחת לכך היא מקרה בו פרסומות שהופצו ע״י רשתות פרסום לגיטימיות הובילו לבאנר זדוני שנשלח משרת פרוץ. קוד JavaScript חולץ מהבאנר, שניצל את חולשת CVE-2016-0162 שהייתה קיימת בגרסאות מסוימות של Internet Explorer, כדי לקבל מידע נוסף על המטרה.

משמאל לימין: תמונה נקייה, תמונה עם תוכן זדוני ותמונה דומה לתמונה הזדונית שמדגישה את הקוד הזדוני
שמוטמע בה (מקור: גוף המחקר של ESET)

כפי שניתן לראות, ההבדל בין תמונה נקייה ותמונה זדונית הוא קטן יחסית. לאדם מן השורה, התמונה הזדונית עשויה להיראות שונה במקצת, ובמקרה הזה קל לייחס את ההבדל לאיכות ורזולוציה גרועים של התמונה, כאשר בפועל כל הפיקסלים הכהים המופיעים בתמונה הימנית הם סימן לקוד זדוני.

אין ממה להיבהל

אם כך, אתם ודאי תוהים אם התמונות שאתם רואים באתרי רשתות חברתיות עשויים להכיל קוד זדוני. זכרו שתמונות שעולות לאתרי הרשתות החברתיות עוברים דחיסה ושינויים משמעותיים, כך שגורם זדוני יתקשה מאוד להסתיר קוד כך שיישמר וימשיך לעבוד. אולי הבחנתם בכך אם ראיתם את ההבדל בין תמונה לפני ההעלאה שלה לאינסטגרם ואחריה – בדרך כלל, יש הבדל ברור בין איכות התמונה בשני המקרים.

אך בעיקר – הסתרת הפיקסלים בנתוני ה-RGB ושיטות סטנוגרפיות אחרות יכולות לסכן אתכם רק כאשר הנתונים המוחבאים נקראים ע״י תוכנה שיכולה לחלץ את הקוד הזדוני ולהפעיל אותו על המערכת. תמונות משמשות בדרך כלל להסתרת נוזקה שהורדה משרתי שליטה ובקרה כדי למנוע את את זיהויה ע״י תוכנות אבטחת סייבר.

באחד המקרים שנצפו, סוס טרויאני שנקרא ZeroT הורד למחשביהם של קורבנות באמצעות קבצי וורד מודבקים שצורפו להודעות דוא״ל. אך זה לא החלק הכי מעניין. אותה הנוזקה הורידה גם סוג מסוים של הסוס הטרויאני להשתלטות מרחוק PlugX (נקרא גם Korplug) – והשתמשה בסטגנוגרפיה כדי לחלץ את הנוזקה מתמונה של בריטני ספירס.

במילים אחרות, אם אתם מוגנים מסוסים טרויאנים כמו ZeroT, אין לכם מה לדאוג מהשימוש שלהם בסטגנוגרפיה.

כדי שקוד זדוני שמחולץ מתמונה יצליח לבצע את משימתו, צריכות להיות פרצות אבטחה קיימות במערכת. אם המערכות שלכם קיבלו את עדכוני האבטחה האחרונים, קוד הפריצה לא יצליח לפעול, ולכן תמיד כדאי לעדכן את הגנות הסייבר, התוכנות ומערכת ההפעלה שלכם לגרסאותיהן האחרונות. ניתן למנוע פריצה באמצעות קיט פריצה באמצעות עבודה עם תוכנות מעודכנות ושימוש בפתרון אבטחה אמין ועדכני.

אותם הכללים לאבטחת סייבר חלים בכל מקרה ומקרה ומודעות היא השלב הראשון בדרך לחיים בטוחים יותר במרחב המקוון.