Discussione "Inserire un virus in un'immagine: posso?" - E' davvero possibile?

czonta96

Utente Gold
17 Gennaio 2022
265
73
161
289
Ultima modifica:
Il sogno di tutti gli script kiddies di questo mondo è inserire un virus in un'immagine. Detto in modo così banale e semplice, che sembra quasi una sciocchezza.
In effetti lo sembra - finché non si scopre come stanno le cose.

Prima di tutto di che virus parlano questi tizi su google, che pongono questa domanda ovunque, specialmente su reddit? Non si sa, perché ogni virus ha delle proprietà che gli attribuisce una nomenclatura unica: è un trojan? Un ransomware? Un crypto miner? Vabbè non mi dilungo, passiamo al sodo.

"Inserire un virus", o per meglio dire, sfruttare una vulnerabilità creando una situazione tale per cui è possibile eseguire del codice arbitrario nel contesto di un image viewer, è possibile. Sì... Pensavate che stessi per smentire gli script kiddies? Sì... E' possibile. Ma, può essere fatto solo se l'immagine che contiene il codice infetto, viene aperta in un image viewer vulnerabile. Oppure, facciamo un esempio più tecnico:

- Supponiamo che trovo un sito web che consente di fare l'upload di immagini, di qualsiasi formato. Supponiamo che il nostro sito sia hostato su un server scritto interamente in Java. Questo server, fra le funzioni, incorpora un parser delle immagini che vengono caricate dagli utenti. Se scopro che questo parser è vulnerabile, ed esegue codice arbitrario (in java) fornito nei metadata dell'immagine, si genera una situazione che porta all'esecuzione di questo codice fornito all'interno dell'immagine, da parte del server. Questo codice può essere quello che vi pare - un ransomware, beacon, meterpreter - tutto quello che vi pare.

Questa spiegazione è davvero molto generica, ma c'è qualcosa che ci tengo a precisare. Non è possibile infettare qualche idiota che frequenta le chat erotiche, inviandogli l'immagine di una signorina con un payload ben nascosto nei commenti dei metadata. Se fosse possibile saremmo hackerati tutti i giorni, continuamente. Rifletteteci. Gli interpreti delle immagini installati nei nostri dispositivi usano molta sicurezza, e forse, se sei davvero geniale, puoi trovare un exploit che li corrompe (non ci riesco nemmeno io, è troppo anche per me). Con questa storia non voglio far vedere che sono bravo, mi piace solo fare chiarezza sulle situazioni ambigue, come sta *azzata dei virus nelle immagini.
 
  • Mi piace
Reazioni: DevilDriver

TheWorm91

Utente Silver
31 Marzo 2022
116
23
35
63
- Supponiamo che trovo un sito web che consente di fare l'upload di immagini, di qualsiasi formato. Supponiamo che il nostro sito sia hostato su un server scritto interamente in Java. Questo server, fra le funzioni, incorpora un parser delle immagini che vengono caricate dagli utenti. Se scopro che questo parser è vulnerabile, ed esegue codice arbitrario (in java) fornito nei metadata dell'immagine, si genera una situazione che porta all'esecuzione di questo codice fornito all'interno dell'immagine, da parte del server. Questo codice può essere quello che vi pare - un ransomware, beacon, meterpreter - tutto quello che vi pare.
Praticamente sarebbe un attacco XSS tramite un image upload?
 

czonta96

Utente Gold
17 Gennaio 2022
265
73
161
289
Può essere tutto... quando un'app non fa validation dei contenuti inseriti nell'input dei form risulta nell'esecuzione "cieca" di qualsiasi cosa scritta in quel form, XSS, buffer overflow
Messaggio unito automaticamente:

E' per questo che gli exploit 0 day hanno costi elevatissimi, non puoi essere hackerato se non sei vulnerabile. La gente spesso da molte cose per scontate, effettivamente ci sono degli uber-hacker veterani che risultano talmente bravi, che quello che fanno sembra magia nera, ma dietro quello che fanno non ci sono solo Skill, ma soprattutto Vulnerabilità. Non sei vulnerabile? Error: target is not exploitable.
 

ZeusTheLegend

Utente Iron
22 Maggio 2022
6
0
0
3
Esistevano i programmi che switchavano l'exe in .jpg eseguibile, ma anche una modifica manuale dei formati dipende dai casi funziona ugualmente, niente di geniale.. magari l'etica ma il succo è semplice... bisogna stare attenti ma sono casi più unici che rari... difficilmente oggi nel 2022 ti inciampi in problemi simili.

E ovviamente devi sempre aprire il file .jpg , non basta una semplice visualizzazione nel browser, sarebbe troppo facile..
 

miomao59

Utente Iron
3 Aprile 2021
36
1
8
16
Pensavate che stessi per smentire gli script kiddies?
No, perchè in passato ci sono state più vulnerabilità sulla dll di windows per visualizzare le jpeg. Solo chi non segue il mondo dell'hacking può pensare una cosa del genere. Anche i pdf sono stati più volte vulnerabili. È possibile inserire codice javascript che potrebbe scaricare un exe ed eseguirlo.
 

0xbro

Super Moderatore
24 Febbraio 2017
4,153
162
3,188
1,645
Ultima modifica:
Un classico esempio che ho trovato un po' di tempo fa e che mi è capitato da poco nuovamente sottomano è un Buffer Overflow su "Easy RM to MP3 Converter 2.7.3.700", un vecchio convertitore di file RM in MP3. Non sono file immagine, ma la logica è la stessa: è possibile creare un file con del contenuto malevolo che una volta elaborato (dal visualizzatore di immagini piuttosto che in questo caso dal convertitore) sfrutta la falla ed esegue codice malevolo.

Questo è il PoC di cui parlo sopra, preso da ExploitDB (è presente anche il collegamento diretto al programma vulnerabile, se qualcuno volesse provarlo):
 
  • Mi piace
Reazioni: emina

Leprechaun

Utente Jade
21 Aprile 2011
1,334
82
852
800
Un exploit del genere ti costerebbe un rene e mezzo, sicuramente esiste ma di certo non è in mano ai comuni mortali come noi.
Che io sappia l'unico "exploit" a costo zero, limitatissimi allo scambio file, che ti permetta di camuffare le estensioni sotto windows è Unitrix.
Nel 2016 ancora funzionava e ci avevo pure fatto un video, conoscendo microsoft funziona ancora anche nel 2022.
 

Emu Blog

Utente Bronze
11 Marzo 2021
79
9
35
37
Il sogno di tutti gli script kiddies di questo mondo è inserire un virus in un'immagine. Detto in modo così banale e semplice, che sembra quasi una sciocchezza.
In effetti lo sembra - finché non si scopre come stanno le cose.

Prima di tutto di che virus parlano questi tizi su google, che pongono questa domanda ovunque, specialmente su reddit? Non si sa, perché ogni virus ha delle proprietà che gli attribuisce una nomenclatura unica: è un trojan? Un ransomware? Un crypto miner? Vabbè non mi dilungo, passiamo al sodo.

"Inserire un virus", o per meglio dire, sfruttare una vulnerabilità creando una situazione tale per cui è possibile eseguire del codice arbitrario nel contesto di un image viewer, è possibile. Sì... Pensavate che stessi per smentire gli script kiddies? Sì... E' possibile. Ma, può essere fatto solo se l'immagine che contiene il codice infetto, viene aperta in un image viewer vulnerabile. Oppure, facciamo un esempio più tecnico:

- Supponiamo che trovo un sito web che consente di fare l'upload di immagini, di qualsiasi formato. Supponiamo che il nostro sito sia hostato su un server scritto interamente in Java. Questo server, fra le funzioni, incorpora un parser delle immagini che vengono caricate dagli utenti. Se scopro che questo parser è vulnerabile, ed esegue codice arbitrario (in java) fornito nei metadata dell'immagine, si genera una situazione che porta all'esecuzione di questo codice fornito all'interno dell'immagine, da parte del server. Questo codice può essere quello che vi pare - un ransomware, beacon, meterpreter - tutto quello che vi pare.

Questa spiegazione è davvero molto generica, ma c'è qualcosa che ci tengo a precisare. Non è possibile infettare qualche idiota che frequenta le chat erotiche, inviandogli l'immagine di una signorina con un payload ben nascosto nei commenti dei metadata. Se fosse possibile saremmo hackerati tutti i giorni, continuamente. Rifletteteci. Gli interpreti delle immagini installati nei nostri dispositivi usano molta sicurezza, e forse, se sei davvero geniale, puoi trovare un exploit che li corrompe (non ci riesco nemmeno io, è troppo anche per me). Con questa storia non voglio far vedere che sono bravo, mi piace solo fare chiarezza sulle situazioni ambigue, come sta *azzata dei virus nelle immagini.
Tutorial su come distruggere gli script kiddie haha.
 

MRPants

Helper
4 Gennaio 2015
125
19
101
126
Esisteva un gruppo , a metà tra l'effettivo e la leggenda metropolitana , CICADA 3301 , che si avvaleva della tecnica "Stegosploit" che consisteva nel nascondere codice malevolo "dentro " i pixel dell'immagine , anche se in realtà sono diventati famosi per alcuni enigmi pubblicati con lo scopo di reclutare le più intelligenti personalità del nostro pianeta , dopo alcuni enigmi sono scomparsi nel nulla ; comunque argomento interessante questa tecnica
 
  • Mi piace
Reazioni: TheWorm91

0xGhost

Utente Gold
22 Febbraio 2022
306
34
221
253
Esisteva un gruppo , a metà tra l'effettivo e la leggenda metropolitana , CICADA 3301 , che si avvaleva della tecnica "Stegosploit" che consisteva nel nascondere codice malevolo "dentro " i pixel dell'immagine , anche se in realtà sono diventati famosi per alcuni enigmi pubblicati con lo scopo di reclutare le più intelligenti personalità del nostro pianeta , dopo alcuni enigmi sono scomparsi nel nulla ; comunque argomento interessante questa tecnica
li conosco, se non sbaglio il terzo enigma non è stato ancora scoperto, mi pare che fosse qualcosa riguardante a Tor e la crittografia, per il resto la tecnica stegosploit mi è nuova
 
  • Mi piace
Reazioni: MRPants

MRPants

Helper
4 Gennaio 2015
125
19
101
126

@wtfghxst


stego dalla stenografia ( una tecnica che consiste nel nascondere dati all'interno di foto o video) , in parole povere il malware contenuto nelle immagini altro non è che codice javascript malevolo eseguito dal browser , che interessa file bmp,jpg,png e gif

qui trovi la presentazione dell'indiano che nel 2015 con una presentazione a coniato il termine:



Vedi: https://www.slideshare.net/saumilshah/stegosploit-hacking-with-pictures

qui altri link utili:

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmcCAC&lang=en_US


https://hackaday.com/2015/11/06/stegosploit-owned-by-a-jpg/

 
  • Mi piace
  • Grazie
Reazioni: 0xbro e 0xGhost