欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全防护正文

黑客运用Polyglot图象隐蔽歹意告白运动

b9e08c31ae1faa592019-03-0122

DEVON平安研究职员追踪到歹意告白进击运动愈来愈运用庞杂的进击体式格局来隐蔽payload。DEVCON平安研究职员发明最少一个进击构造经由过程polyglot破绽应用来分发歹意告白payload。Polyglot图象和Steganographic图象(隐写)的界说很轻易殽杂,但这两个进击之间有显着的区分。

隐写破绽应用运用的是隐蔽在图象中的修正像素值。经由过程修正像素值,人眼没法检测到图象质量的显着变化。然则破绽应用也须要一些分外的剧本来相识形式和offset来找出破绽应用的像素,然后将这些聚合在可实行JS文件中。

Polyglot破绽应用的特点是文件能够同时在图象和JS文件中。不须要外部剧本就能够提取payload。然则文件怎样同时是图象文件又是JS文件呢?道理就在于计算机辨认这两个文件范例的体式格局。

下面是计算机读取一般BMP文件的状况。须要晓得的是进击者怎样将它转换成polyglot,并应用浏览器。

黑客运用Polyglot图象隐蔽歹意告白运动  第1张一般BMP图象头部

前两个字节(赤色框)是BMP图象的BM的十六进制透露表现。接下来的4个字节(8A C0 A8 00)透露表现图象文件的巨细。然后是4个null字节(00 00 00 00),数据偏移量是(8A 00 00 00)。这些字节就给出了计算机准确实行文件须要的重要信息。

下面是Polyglot BMP图象文件的header:

黑客运用Polyglot图象隐蔽歹意告白运动  第2张

看起来很像。也是以BM最先的,巨细和数据偏移offset也有。进击者就是应用修正和掌握图象的巨细和十六进制字符来使计算机将该文件辨认为其他文件的。进击者修正了图象的巨细字段就变成了/**(字符代码)。这些字符加起来就是一个JS的诠释。JS备注是用来使JS翻译器疏忽这些字符串,好比疏忽/*到*/之间的字符串。

下面看一下文件的尾部。

黑客运用Polyglot图象隐蔽歹意告白运动  第3张

JS诠释是以*/末端的,进击者然后加入了字符串=和`。进击者就将文件范例BM转成JS变量,并设置为另一个高度殽杂的payload。下面诠释了JS翻译器的道理:

黑客运用Polyglot图象隐蔽歹意告白运动  第4张

该文件在浏览器中有两种体式格局运转:

· <img src="polyglot.jpg"/> 会显现给用户一个图片,而会疏忽JS剧本。

· <script src="polyglot.jpg"></script> 会实行有用的JS,而疏忽图象数据。

研究职员已检测到隐蔽在歹意告白payload中的破绽应用。进击者有一些有创意的图片:

黑客运用Polyglot图象隐蔽歹意告白运动  第5张

研究职员发明进击以一般BMP文件的体式格局加载,而在浏览器中是以JS的体式格局加载BM变量到内存中,如下图所示:

-------------------------------------

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

-------------------------------------

黑客运用Polyglot图象隐蔽歹意告白运动  第6张

图象文件的背面局部含有一个解码剧本,该剧本实际上是一个高度殽杂的JS。进击是分层的,而且运用了一些手艺来隐蔽歹意运动,而且障碍逆向工程师找出其真正的事情道理。

黑客运用Polyglot图象隐蔽歹意告白运动  第7张

上面的剧本都是用下面的这个简朴那叫吧来解码的。这会解码会隐蔽在BM变量中的数据:

黑客运用Polyglot图象隐蔽歹意告白运动  第8张

下面是解码的BM数据。末了解码的剧本实在不像我们罕见的歹意告白运动中的破绽应用。它在浏览器中引入了一个cloudfront的url,会将受害者重定向到其他加载SPIN THE WHELL类游戏的页面。

黑客运用Polyglot图象隐蔽歹意告白运动  第9张

末了重定向的效果:

黑客运用Polyglot图象隐蔽歹意告白运动  第10张

然则这类新的进击要领实在实在不新鲜。平安研究职员和渗入测试职员也常运用这类手艺来实行shell代码和提议服务器进击。JS/GIF polyglots是一种缭绕服务器平安策略而实行XSS进击的要领。相似的进击要领已涌现不止一次了。研究职员细致更多的高等进击构造将会进入歹意告白敲诈进击运动中。

网友评论