Twitter图片可能被滥用来隐藏ZIP、MP3文件

安全
如果你下载了一张图片,却发现大小有好几MB,那你要警惕了,图片可能藏着压缩文件和Mp3文件。3月17日,研究人员披露了一种在Twitter图像中隐藏多达3 MB数据的方法。

如果你下载了一张图片,却发现大小有好几MB,那你要警惕了,图片可能藏着压缩文件和Mp3文件。

3月17日,研究人员披露了一种在Twitter图像中隐藏多达3 MB数据的方法。

[[388495]]

尽管将非图像数据隐藏在图像中的技术(图像隐写技术)并不新鲜,但不经排查就将图像托管在Twitter之类的主流社交网站上,给了恶意行为者滥用该技术的空间。

在演示中,David Buchanan展示了Twitter上托管的PNG图像中包含的MP3音频文件和ZIP压缩文件。

下载Twitter上的图片后,仅需改变文件扩展名就可以获得隐藏内容,如下图所示,该图片中包含一个ZIP文档。

David Buchanan展示了Twitter上托管的PNG图像中包含ZIP压缩文件

据媒体表示,该ZIP文档中包含源代码,可以生成所谓的tweetable-polyglot-png。Buchanan还在Github上提供了该技术的源代码。

在另一个上传到Twitter上的例子中, Buchanan在推特上发布了一张隐藏MP3文件的图片。

“下载这个图片,重命名为.mp3,在VLC中打开,会有惊喜。”Buchanan表示。

打开后,变成MP3的图片文件就会开始播放Rick Astley的《Never Gonna Give You Up》。

来源:Bleeping Computering

“Twitter确实会对图片进行压缩,但也有一些情况下不会。它也会剥离任何非必要的元数据,所以任何现有的图像隐写技术都不会奏效。但我发现的新技巧,就是你可以将数据追加到'DEFLATE'流(文件中存储压缩像素数据的部分)的末尾,而Twitter不会将其剥离。”Buchanan在邮件采访中告诉媒体。

匿名攻击者经常利用隐写技术,将恶意命令、有效载荷和其他内容隐藏在图像等看似普通的文件中。

前几日,媒体还报道了一种新型渗透技术,网络犯罪分子利用这种技术将被盗的信用卡数据隐藏在JPG图片中。

正如Buchanan所说,Twitter可能并不总是将无关信息从图片中剥离出来,这一事实可能导致攻击者滥用该功能。

Buchanan认为他的PNG图像概念验证技术本身可能并不是特别有用,因为还有更多的隐蔽方法是可行的。“我不认为这种技术对攻击者特别有用,因为更多传统的图像隐写技术更容易实现(甚至更隐蔽)。"

然而,更有可能的是,研究人员展示的PNG技术可能被恶意软件用于C2活动。

"它可以作为C2系统的一部分,用于向受感染的主机分发恶意文件,"Buchanan表示,由于Twitter可能被网络监控系统认为是一个安全的主机,因此利用这种图像文件通过Twitter传播恶意软件仍然是绕过安全程序的可行方法。

Buchanan向推特反应了该漏洞,“我向Twitter的bug赏金计划报告,但他们说这不是一个安全bug。”

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2009-01-11 09:52:14

Windows 7微软补丁

2020-06-16 09:45:09

暗网冠状病毒威胁情报

2011-05-30 17:31:51

Android 模拟SD卡

2022-07-27 06:42:16

C 程序Linux代码

2010-06-11 12:27:04

openSUSE mp

2016-12-19 19:48:38

2019-08-22 09:30:15

旧iPhone苹果手机

2023-02-09 09:38:32

算法压缩

2011-09-06 16:42:30

FFmpegUbuntu

2011-09-07 11:21:24

UbuntuJuicer

2010-08-27 13:10:36

2022-02-15 13:38:46

PowerPoint计算机Windows

2023-08-26 07:22:44

出码率MP3算法

2021-08-26 16:10:03

微信收款码移动应用

2009-10-27 12:47:29

linux Ext3文

2009-08-04 08:28:10

2009-02-13 13:27:09

2011-03-08 10:03:45

OVF协议虚拟机

2009-02-13 10:25:19

MP3搜索研发语音

2021-03-22 15:17:36

Twitter黑客攻击
点赞
收藏

51CTO技术栈公众号