Bazı fotoğraflarda göründüğünden fazlası vardır; ilk bakışta masum olan görseller, içinde pekâlâ zararlı yazılımlar barındırabilirler.
Dijital güvenlik yazılımları şüpheli dosyaları tespit etme konusunda artık oldukça yetenekliler. İşletmelerin ek koruma katmanlarıyla güvenlik duruşlarını artırma ihtiyacının giderek daha fazla farkına varmasıyla saldırganlar tespitten kaçınmak için hile yapmaya başladılar.
Aslında, herhangi bir siber güvenlik yazılımı çoğu kötü amaçlı dosyayı tespit edebilir. Bu nedenle, tehdit aktörleri tespit edilmekten kaçınmak için sürekli olarak farklı yollar ararlar ve bu teknikler arasında görüntülere veya fotoğraflara gizlenmiş kötü amaçlı yazılımlar kullanmak da vardır.
Fotograflarda gizlenen zararlı yazılımlar
Kulağa abartılı gelebilir ancak oldukça gerçektir. Zararlı yazılımlar, tespit edilmekten kaçınmak için bir dosya içinde veri gizleme tekniği olan steganografi sayesinde çeşitli formatlardaki görüntülerin içine yerleştirilebilirler. ESET Research, bu tekniğin Worok siber casusluk grubu tarafından kullanıldığını tespit etti. Bu grup, görüntü dosyalarına kötü amaçlı kod gizliyor ve çalıştırmak üzere bir yük çıkarmak için yalnızca belirli piksel bilgilerini alıyordu. Daha önce de belirtildiği gibi kötü amaçlı yazılımları görüntülerin içine gizlemek, ilk erişimden ziyade tespitten kaçmakla ilgili olduğundan bunun zaten açığa çıkmış sistemlerde yapıldığını unutmayın.
Çoğu zaman, kötü amaçlı görüntüler web sitelerinde kullanıma sunulur veya belgelerin içine yerleştirilir. Reklam yazılımlarını hatırlayın; reklam afişlerine gizlenmiş kodlar. Görüntüdeki kod tek başına çalıştırılamaz, yürütülemez veya gömülü haldeyken kendi kendine çıkarılamaz. Kötü amaçlı kodun çıkarılması ve çalıştırılmasıyla ilgilenen başka bir kötü amaçlı yazılım parçasının teslim edilmesi gerekir. Burada gereken kullanıcı etkileşimi düzeyi farklıdır ve bir kişinin kötü niyetli faaliyeti fark etme olasılığı, görüntünün kendisinden ziyade ayıklama işlemine dahil olan koda bağlı görünmektedir.
En az (en çok) anlamlı bit(ler)
Bir görüntüye kötü amaçlı kod yerleştirmenin en dolambaçlı yollarından biri, her pikselin kırmızı-yeşil-mavi-alfa (RGBA) değerinin en az anlamlı bitini mesajın küçük bir parçasıyla değiştirmektir. Bir başka teknik de görüntünün alfa kanalına (bir rengin opaklığını gösterir) yalnızca makul ölçüde önemsiz bir bölümünü kullanarak bir şey gömmektir. Bu şekilde, görüntü normal bir görüntüyle aşağı yukarı aynı görünür ve herhangi bir farkın çıplak gözle tespit edilmesi zorlaşır.
Bunun bir örneği, meşru reklam ağlarının, potansiyel olarak güvenliği ihlal edilmiş bir sunucudan gönderilen kötü amaçlı bir banner’a yol açan reklamlar sunmasıydı. Hedef hakkında daha fazla bilgi almak için Internet Explorer’ın bazı sürümlerindeki CVE-2016-0162 güvenlik açığından yararlanılarak banner’dan JavaScript kodu yayıldı.
Her iki resim de aynı gibi görünebilir ancak bunlardan biri piksellerinin alfa kanalında kötü amaçlı kod içerir. Sağdaki resmin nasıl garip bir şekilde pikselli olduğuna dikkat edin.
(Kaynak: ESET Research)
Resimlerden çıkarılan kötü amaçlı yükler çeşitli amaçlar için kullanılabilir. Explorer güvenlik açığı vakasında, çıkarılan komut dosyası, bir kötü amaçlı yazılım analistininki gibi izlenen bir makinede çalışıp çalışmadığını kontrol etti. Eğer değilse, o zaman bir istismar kiti açılış sayfasına yönlendirildi. İstismardan sonra, arka kapılar, bankacılık truva atları, casus yazılımlar, dosya hırsızları ve benzerleri gibi kötü amaçlı yazılımları teslim etmek için nihai bir yük kullanıldı.
Soldan sağa doğru: Temiz görüntü, kötü amaçlı içeriğe sahip görüntü ve kötü amaçlı kodu vurgulamak için geliştirilmiş aynı kötü amaçlı görüntü (Kaynak: ESET Research)
Gördüğünüz gibi, temiz ve kötü niyetli bir görüntü arasındaki fark oldukça küçüktür. Sıradan bir insan için kötü amaçlı görüntü sadece biraz farklı görünebilir ve bu durumda, garip görünüm düşük görüntü kalitesi ve çözünürlüğe bağlanabilir ancak gerçek şu ki, sağdaki resimde vurgulanan tüm bu koyu pikseller kötü huylu kodun bir işaretidir.
Paniğe gerek yok
Bu durumda sosyal medyada gördüğünüz fotografların tehlikeli kod barındırıp barındırmadığını merak ediyor olabilirsiniz. Sosyal medya web sitelerine yüklenen görsellerin genellikle yoğun bir şekilde sıkıştırıldığını ve değiştirildiğini göz önünde bulundurun, bu nedenle saldırganın çalışan zararlı kodu içlerinde gizlemesi çok zor olacaktır. Bu durum, bir fotoğrafın Instagram’a yüklenmeden önce ve yüklendikten sonra nasıl göründüğünü karşılaştırdığınızda açıkça görülebilir. Genellikle belirgin kalite farklılıkları vardır.
En önemlisi, RGB piksel gizleme ve diğer steganografik yöntemler yalnızca gizli veriler kötü amaçlı kodu çıkarabilecek ve sistemde çalıştırabilecek bir program tarafından okunduğunda tehlike oluşturabilir. Görüntüler genellikle komuta ve kontrol (C&C) sunucularından indirilen kötü amaçlı yazılımları gizlemek ve siber güvenlik yazılımları tarafından tespit edilmelerini önlemek için kullanılır. Bir vakada, ZeroT adlı bir truva atı, e-postalara eklenen Word dokümanları aracılığıyla kurbanların makinelerine indirildi. Ancak en ilginç kısım bu değil. İlginç olan, Britney Spears’ın bir görüntüsünden kötü amaçlı yazılım çıkarmak için steganografi kullanan PlugX RAT’ın (diğer adıyla Korplug) bir varyantını da indirmiş olmasıdır.
Başka bir deyişle, ZeroT gibi truva atlarından korunuyorsanız, steganografi kullanımını o kadar önemsemeniz gerekmez.
Son olarak, görüntülerden çıkarılan herhangi bir istismar kodu, başarılı bir istismar için güvenlik açıklarının mevcut olmasına bağlıdır. Sistemleriniz zaten yamalıysa, istismarın çalışma şansı yoktur; bu nedenle, dijital güvenlik yazılımınızı, uygulamalarınızı ve işletim sistemlerinizi her zaman güncel tutmanız iyi bir fikirdir. Yazılımlarınızın tüm yamalarını uygulayarak ve güvenilir, güncellenmiş bir güvenlik çözümü kullanarak istismar kitleri tarafından istismar edilmekten kaçınılabilirsiniz.
Her zaman olduğu gibi genel siber güvenlik kuralları geçerlidir ve farkındalık daha güvenli bir dijital yaşam için ilk adımdır.
