如果你下载了一张图片,发现它有好几MB的大小,那你就要警惕了,图片可能会隐藏压缩文件和Mp3文件。3月17日,研究人员披露了一种在Twitter图片中隐藏多达3MB数据的方法。虽然在图像中隐藏非图像数据(图像隐写术)的技术并不新鲜,但在Twitter等主要社交网站上未经检查的图像托管为恶意行为者提供了滥用该技术的空间。在演示中,DavidBuchanan展示了Twitter上托管的PNG图像中包含的MP3音频文件和ZIP压缩文件。从推特上下载图片后,只需更改文件扩展名即可获得隐藏内容,如下图所示,其中包含一个ZIP文件。大卫·布坎南(DavidBuchanan)展示了Twitter上托管的一张PNG图片,其中包含一个ZIP存档据媒体报道,ZIP存档包含生成所谓的tweetable-polyglot-png的源代码。Buchanan还在Github上提供了该技术的源代码。在上传到Twitter的另一个示例中,Buchanan在推特上发布了一张隐藏的MP3文件的图片。“下载这张图片,将其重命名为.mp3,在VLC中打开,将会有惊喜,”布坎南说。打开后,变成MP3的图片文件会开始播放RickAstley的《Never Gonna Give You Up》。资料来源:BleepingComputering“Twitter会压缩图像,但在某些情况下不会。它还会删除任何非必要的元数据,因此任何现有的图像隐写术技术都不起作用。但我发现的新技巧是你可以将数据附加到‘DEFLATE’流(存储压缩像素数据的文件部分)的末尾,Twitter不会删除它,”Buchanan在电子邮件采访中告诉媒体。匿名攻击者经常使用隐写术将恶意命令、有效负载和其他内容隐藏在看似平凡的文件(例如图像)中。在过去的几天里,媒体还报道了一种新的渗透技术,网络犯罪分子使用这种技术将被盗的信用卡数据隐藏在JPG图像中。正如Buchanan指出的那样,Twitter可能并不总是从图像中删除无关信息这一事实可能会导致攻击者滥用该功能。Buchanan认为他的PNG图像概念验证技术本身可能不是特别有用,因为有更多的隐蔽方法是可能的。“我不认为这种技术对攻击者特别有用,因为更传统的图像隐写技术更容易实施(甚至更隐蔽)。”然而,研究人员展示的PNG技术更有可能被用于C2活动的恶意软件利用。“它可以用作C2系统的一部分,将恶意文件分发给受感染的主机,”布坎南说,并补充说,使用此类图像文件通过Twitter传播恶意软件仍然是可能的,因为Twitter可能被网络监控视为安全主机系统是绕过安全程序的可行方法。布坎南在Twitter上回应了这个漏洞,“我向Twitter的漏洞赏金计划报告了它,但他们说这不是安全漏洞。”
