Χρήση στεγανογραφίας σε εικόνες, για την μόλυνση Mac με trojan

**nnn** · 25-01-19, 11:47

Αρχικό μήνυμα από Zus

Υπάρχει κάποιος να μας εξηγήσει λίγο παραπάνω το συγκεκριμένο, που είναι και το ζουμί?

Έχει ανάλυση στο άρθρο...

**fadasma** · 25-01-19, 12:47

Να δούμε και πόσο εύκολα καθαρίζεται ένα Mac από τον ιο σε σχέση με τα windows που θέλουν format μετά

**Zus** · 25-01-19, 12:49

Αρχικό μήνυμα από fadasma

Να δούμε και πόσο εύκολα καθαρίζεται ένα Mac από τον ιο σε σχέση με τα windows που θέλουν format μετά

Ποιος το λέει αυτό.

**slow** · 25-01-19, 13:23

Όταν η εικόνα εμφανιζόταν κάθε pixel της, μετατρεπόταν στον αντίστοιχο αλφαριθμητικό χαρακτήρα του.

Ρε τι σκέφτηκαν οι άνθρωποι...

**userbeta7** · 26-01-19, 20:55

Τα σχόλια είναι για γέλια, όσο για γέλια είναι και αυτοί που έχουν mac και νομίζουν ότι δεν υπάρχουν ιοί για τα mac. Trojan για mac (και keyloggers) γνωρίζω ότι υπάρχουν από 10.5.8 και φαντάζομαι ότι θα υπήρχαν από πάντα.
Και ναι τα mac είναι ασφαλέστερα για τον μέσο άσχετο χρήστη, όχι γιατί διαθέτουν καλύτερες ασφάλειες από τα Win αλλά γιατί το ποσοστό χρήσης τους αποτρέπει τους σχεδιαστές ιών να ασχοληθούν μαζί τους.
Κατά τα άλλα, για όσους δεν γνωρίζουν, στα Mac ένας ιός ακόμα και αν τρέξει με root δεν μπορεί να κάνει μεταβολές στο λειτουργικό σύστημα παρά μόνο στον χρήστη.

Κώδικας:

https://en.wikipedia.org/wiki/System_Integrity_Protection

Κοινός όλα τα λειτουργικά είναι τρύπια όταν ο χρήστης είναι "τρύπιος" αν και πολλές φορές έχει αποδειχθεί ότι υπάρχουν τραγικές τρύπες χωρίς να χρειάζεται ο χρήστης να τρέξει κάτι.

Σχετικά με την στενογραφία δεν είναι κάτι καινούργιο, υπάρχουν αρκετοί τρόποι να κρύψεις πληροφορία μέσα σε εικόνες, τραγούδια και ταινίες.

**kiriakk** · 27-01-19, 00:30

Αρχικό μήνυμα από userbeta7

Τα σχόλια είναι για γέλια, όσο για γέλια είναι και αυτοί που έχουν mac και νομίζουν ότι δεν υπάρχουν ιοί για τα mac. Trojan για mac (και keyloggers) γνωρίζω ότι υπάρχουν από 10.5.8 και φαντάζομαι ότι θα υπήρχαν από πάντα.
Και ναι τα mac είναι ασφαλέστερα για τον μέσο άσχετο χρήστη, όχι γιατί διαθέτουν καλύτερες ασφάλειες από τα Win αλλά γιατί το ποσοστό χρήσης τους αποτρέπει τους σχεδιαστές ιών να ασχοληθούν μαζί τους.
Κατά τα άλλα, για όσους δεν γνωρίζουν, στα Mac ένας ιός ακόμα και αν τρέξει με root δεν μπορεί να κάνει μεταβολές στο λειτουργικό σύστημα παρά μόνο στον χρήστη.

Κώδικας:

https://en.wikipedia.org/wiki/System_Integrity_Protection

Κοινός όλα τα λειτουργικά είναι τρύπια όταν ο χρήστης είναι "τρύπιος" αν και πολλές φορές έχει αποδειχθεί ότι υπάρχουν τραγικές τρύπες χωρίς να χρειάζεται ο χρήστης να τρέξει κάτι.

Σχετικά με την στενογραφία δεν είναι κάτι καινούργιο, υπάρχουν αρκετοί τρόποι να κρύψεις πληροφορία μέσα σε εικόνες, τραγούδια και ταινίες.

τα σχόλια είναι για γέλια;
φαντάζομαι δεν βαζεις το δικό σου μέσα

btw είναι στεγανογραφία όχι στενογραφία

**valtrig** · 28-01-19, 12:34

Αρχικό μήνυμα από gcf

To malware αν κατάλαβα καλά εκμεταλλευόταν και κάποια αδυναμία του συστήματος - λειτουργούσε μόνο αν υπήρχαν specific Mac fonts.

Δεν είναι έτσι. Το malware απλώς ανιχνεύει την ύπαρξη της γραμματοσειράς"-apple-system" στον browser. Εάν δεν υπάρχει, ο κώδικας απλά δεν κάνει τίποτα. Είναι ένας χαζός τρόπος να ελέγξει ο κώδικας εάν εκτελείται σε browser που τρέχει σε λειτουργικό της Apple, μιας και στόχος του συγκεκριμένου malware είναι μηχανήματα με macOS. Επειδή οι server που μοιράζουν το τελικό payload για τη μόλυνση είναι συνήθως virtual machines σε κάποιο cloud provider, o λόγος που γίνεται αυτό το φιλτράρισμα είναι ώστε να μην ξοδεύονται πόροι (bandwidth, CPU time κλπ) για μηχανάκια που στη συγκεκριμένη "καμπάνια" δεν τους ενδιαφέρουν (Windows, Linux, Android κλπ). Πληροφοριακά, το "χαζός" που αναφέρω παραπάνω έχει να κάνει με το γεγονός ότι το αποτέλεσμα αυτού του απλοϊκού τρόπου ανίχνευσης είναι θετικό ακόμη και σε συσκευές οι οποίες τρέχουν iOS (iPhone, iPad, iPod), στις οποίες εκ των πραγμάτων δεν είναι δυνατή η μόλυνση αφού μιλάμε για διαφορετικό λειτουργικό, οπότε είναι εκτός target group.

Αρχικό μήνυμα από Zus

Υπάρχει κάποιος να μας εξηγήσει λίγο παραπάνω το συγκεκριμένο, που είναι και το ζουμί?

Το ζουμί είναι το εξής: το συγκεκριμένο τμήμα του malware αποτελείται από κώδικα Javascript, ο οποίος κατεβαίνει και εκτελείται στον browser των πιθανών θυμάτων με τη μορφή διαφήμισης σε κάποια ιστοσελίδα. Στόχος του malware είναι αρχικά να ανακατευθύνει τον browser σε άλλο domain, όπου στην συνέχεια η εν λόγω σελίδα θα προσπαθήσει να πείσει τον χρήστη να κατεβάσει και να εκτελέσει ένα trojan, "μεταμφιεσμένο" σε update του Flash Player για macOS. Στην προσπάθειά τους να περάσουν τους ελέγχους και να αποφύγουν να χαρακτηριστεί ο κώδικας της διαφήμισης ως malware από κάποιο αυτοματοποιημένο εργαλείο στατικής ανάλυσης, σαν κι αυτά που χρησιμοποιούν οι εταιρίες που διανέμουν διαφημίσεις στις διάφορες ιστοσελίδες, π.χ. Google Ads, οι συγγραφείς του malware αποθήκευσαν το κομμάτι του Javascript κώδικα για την ανακατεύθυνση μέσα στην εν λόγω εικόνα σαν ASCII data. Όταν λοιπόν εμφανιστεί η διαφήμιση στον browser, ο φαινομενικά "καθαρός" κώδικας εκτελείται και αφού ανιχνεύσει, μέσω της ύπαρξης Apple fonts, ότι το τρέχον λειτουργικό είναι macOS, κατεβάζει την εικόνα και φορτώνει μέσα από τα data της το κομμάτι κώδικα που θα ανακατευθύνει τον browser στο νέο site για να γίνει η μόλυνση με το trojan!

**Zus** · 28-01-19, 12:45

Αρχικό μήνυμα από valtrig

Το ζουμί είναι το εξής: το συγκεκριμένο τμήμα του malware αποτελείται από κώδικα Javascript, ο οποίος κατεβαίνει και εκτελείται στον browser των πιθανών θυμάτων με τη μορφή διαφήμισης σε κάποια ιστοσελίδα. Στόχος του malware είναι αρχικά να ανακατευθύνει τον browser σε άλλο domain, όπου στην συνέχεια η εν λόγω σελίδα θα προσπαθήσει να πείσει τον χρήστη να κατεβάσει και να εκτελέσει ένα trojan, "μεταμφιεσμένο" σε update του Flash Player για macOS. Στην προσπάθειά τους να περάσουν τους ελέγχους και να αποφύγουν να χαρακτηριστεί ο κώδικας της διαφήμισης ως malware από κάποιο αυτοματοποιημένο εργαλείο στατικής ανάλυσης, σαν κι αυτά που χρησιμοποιούν οι εταιρίες που διανέμουν διαφημίσεις στις διάφορες ιστοσελίδες, π.χ. Google Ads, οι συγγραφείς του malware αποθήκευσαν το κομμάτι του Javascript κώδικα για την ανακατεύθυνση μέσα στην εν λόγω εικόνα σαν ASCII data. Όταν λοιπόν εμφανιστεί η διαφήμιση στον browser, ο φαινομενικά "καθαρός" κώδικας εκτελείται και αφού ανιχνεύσει, μέσω της ύπαρξης Apple fonts, ότι το τρέχον λειτουργικό είναι macOS, κατεβάζει την εικόνα και φορτώνει μέσα από τα data της το κομμάτι κώδικα που θα ανακατευθύνει τον browser στο νέο site για να γίνει η μόλυνση με το trojan!

Ευχαριστώ.

Απορία: Η εμφάνιση της διαφήμισης εξ' αρχής απαιτούσε άλλου είδους malware? Δηλαδή "έσπρωξαν" την διαφήμιση σαν μία απλή διαφήμιση σε εταιρία παροχής τέτοιων υπηρεσιών ή το πέτυχαν σαν ενδιάμεσοι?

**valtrig** · 28-01-19, 13:08

Όχι, δεν απαιτούσε ούτε άλλο malware, ούτε καν την επίσκεψη σε κάποιο site "αμφιλεγόμενου περιεχομένου". Οι τύποι παρουσιάζονται ως διαφημιστές, χρησιμοποιώντας κάποια νόμιμη πλατφόρμα υπηρεσιών προώθησης μέσω διαδικτύου. Στη συγκεκριμένη περίπτωση αυτήν, https://adpiano.com/, η οποία για κάποιο λόγο φαίνεται να προτιμάται από κάποιους malvertisers!

**userbeta7** · 29-01-19, 22:07

Αρχικό μήνυμα από kiriakk

τα σχόλια είναι για γέλια;
φαντάζομαι δεν βαζεις το δικό σου μέσα

btw είναι στεγανογραφία όχι στενογραφία

Εγώ τουλάχιστον αιτιολογώ τα σχόλια μου σε αντίθεση με εσένα, στεγανογραφια είναι ναι, ευχαριστώ για την διόρθωση. lol

Θέμα: Χρήση στεγανογραφίας σε εικόνες, για την μόλυνση Mac με trojan

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές