Aller au contenu


Stéganographie et malwares.

stéganographie malwares image stegosploit Saumil Shah

  • Vous ne pouvez pas répondre à ce sujet
12 replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 04 juin 2015 - 09:33

Salut !

 

Depuis 2008, il y a dans Infomars un sujet sur la stéganographie, cette technique pour dissimuler des données dans d'autres données. Ça fait longtemps et, malheureusement, les logiciels qui y sont décrits ne sont majoritairement plus maintenus. Certains d'entre nous cependant utilisent encore Steghide [1] qui fonctionne sous Linux et sous Windows 32bits.

Pour Debian et les distributions dérivées ..

sudo apt-get install steghide

Pour Arch et les distributions dérivées ..

sudo pacman -S steghide

Pour Fedora ..

sudo yum install steghide

.

''nIQnutn'' aborde le sujet de l'art de dissimuler un message dans un contexte Debian. A Steghide, il ajoute Stegnow, Outguess et la possibilité basique qu'offre l'utilisation de ''cat'' et ''unzip''.

 

C'est une manière encore peu habituelle de chiffrer ses messages. Elle devrait donner du fil à retordre aux espions professionnels. Et ça peut même être amusant.

 

…. …. …. ….

…. …. …. ….

 

La stéganographie numérique est le plus souvent utilisée pour cacher du texte mais peut aussi servir à camoufler des éléments d'un logiciel malveillant comme le font des variantes de ZeuS, Vawtrak, Alureon, Lurk etc [2].

 

Il est possible d'aller plus loin et de cacher l'injecteur (dropper), dans une image par exemple.

L'injecteur est la partie d'un code malveillant conçue pour ''installer'' le malware proprement dit dans le système ciblé. Généralement c'est un ensemble élaboré de manière à éviter la détection par les antivirus. Pour compliquer la tâche de celui-ci l'injecteur peut être seul et télécharger le malware une fois activé.

« Récemment, nous avons rencontré un malware qui traversé Internet déguisé en image de femme. Le malware utilise plusieurs couches de dissimulation pour cacher sa charge utile, y compris la stéganographie. La stéganographie est la pratique de dissimuler un message, une image ou un fichier au sein d'un autre message, image ou fichier. La stéganographie peut être utilisée dans des situations où le cryptage pourrait attirer une attention non désirée. Un trafic crypté à partir d'une source inhabituelle va attirer l'attention non désirée. La stéganographie permet à des ''charges malveillantes'' de se cacher. Elle permet également à l'attaquant de contourner les dispositifs de sécurité. Dans notre échantillon de malware, la stéganographie est utilisée pour déchiffrer et exécuter un deuxième injecteur, qui à son tour installe un rootkit dans l'espace utilisateur pour masquer davantage ses intentions. Le rootkit ajoute une autre couche de dissimulation par l'installation d'une porte dérobée DarkComet, en utilisant le chiffrement RC4 pour crypter ses paramètres de configuration et envoyer des données à son serveur de commande et de contrôle » [3].

 

Stegosploit, a été présenté par Saumil Shah fin mai 2015 lors de la conférence Hack in the Box d'Amsterdam.

« Stegosploit est le résultat d'un code d'exploitation malveillant caché dans des pixels de l'image qui le porte. Cependant, l'image est un conteneur multi-format, qui contient également le code nécessaire pour décoder les pixels stéganographiques codés afin d'exécuter l'exploit. Un simple fichier peut être présenté comme un fichier HTML parfaitement valable, exécuté comme un fichier Javascript parfaitement valide, et affiché comme une image parfaitement valable, tout en même temps. »

La librairie IMAJS, développée par Saumil Shah en 2014, combine deux codes pour image et du JavaScript. Le tout est caché dans un fichier JPG ou PNG au sein des pixels de l'image qui paraît normale à première vue.

« Chargée dans une page web à l'aide de la balise <script> , l'image est interprétée comme du code JavaScript, mais si elle chargée à l'aide de la balise « <img> », l'image sera interprétée comme étant une image valide » [4].

Il s'agit donc d'un ''drive by download'' sophistiqué.

 

Stagosploit n'est qu'un PoC mais cette technique pourrait être utilisée massivement pour infester des ordinateurs.

 

Attention aux images que vous recevez et à celle des sites que vous visitez !

 

@+

 

[1] La stéganographie, ou l’art du camouflage (freetux .. 22 février 2015)

[2] Les merveilles (et horreurs) de la Stéganographie numérique (Steve .. Emsisoft .. 20 novembre 2014)

[3] Reversing Multilayer .NET Malware (Dave McDaniel & Jaeson Schultz .. Talos Group .. 18 novembre 2014)

[4] Retour sur l'édition 2014 de la Hack.lu (Mark Schloesser .. xmco .. 05 novembre 2014)


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#2 Cudoinj

Cudoinj

    Touriste Phobosien

  • Eminence Verte
  • PipPipPipPip
  • 76 Messages :
  • Gender:Male

Posté 04 juin 2015 - 14:48

Je pensais que la stéganographie était utilisée depuis plusieurs années pour propager des malwares. De toute façon, il faut toujours se méfier des mails que peuvent nous envoyer des inconnus ou même des connaissances...


Pour consulter (presque) tous mes posts: http://mavielinux.com/
 


#3 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 05 juin 2015 - 06:34

..

 

Des malwares utilisent en effet depuis pas mal de temps la stéganographie pour cacher une partie d'eux même, en particulier les informations concernant les serveurs C&C, ou pour camoufler le contenu de leurs communications. C'est le cas de ZeuS, Vawtrak, Alureon, Lurk etc.

Certains utilisent Stego_Dropper, un injecteur écrit en ''python'' qui utilise la stéganographie et une image sur HTTP pour transférer un fichier. Il se sert lui aussi la technique du ''Least Significant Bit'' (LSB).

Le cas de Zeus est intéressant. Pour détourner l'attention des systèmes de défense, il a un injecteur en deux parties qui bénéficient chacune d'un système d'obfuscation mais seule la troisième partie, l'exécutable, est cachée dans une image PNG [a].

 

Côté Stegosploit, l'injecteur lui-même fait partie de l'image. Il contient du code JavaScript exécutable dans cette image pour déclencher un injecteur unique de type ''drive by download'' mais d'une variante pas encore répandue.

 

@+

 

[a] Another tale of a Zeus targeted attack (Vadim Kotov .. Bromium Labs .. 16 septembre 2013)

[b] Hacking With Pictures; New Stegosploit Tool Hides Malware Inside Internet Images For Instant Drive-by Pwning (l33tdawg .. Hitb.org .. 01 juin 2015)


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#4 Cudoinj

Cudoinj

    Touriste Phobosien

  • Eminence Verte
  • PipPipPipPip
  • 76 Messages :
  • Gender:Male

Posté 08 juin 2015 - 15:54

Stéganographie ..

 

Il y a une surprise dissimulée derrière cette image, qui est capable de la trouver? Le mot de passe est mavielinux

 

 

641404evier.jpg


Pour consulter (presque) tous mes posts: http://mavielinux.com/
 


#5 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 13 juin 2015 - 04:32

..

 

En attendant que quelqu'un trouve le message de Cudoinj, quelques explications complémentaires grâce à Undernews .. Stegosploit : Une simple image piégée pour pirater un ordinateur !

Pour faire simple, imaginez l’attaque parfaite : vous surfez sur Internet et tout à coup, vous perdez le contrôle de votre ordinateur. En toute transparence, un malware vient d’être installé sur votre machine alors que vous avez un système à jour (OS & logiciels) ainsi qu’un antivirus ! Le vecteur ? Une simple image qui s’est affichée sur l’un des sites que vous venez de visiter… Le pire étant que cela n’est pas de la science-fiction mais un PoC exploitant des techniques avancées de stéganographie présenté par le chercheur Saumil Shah (PDF de présentation disponible ici).

Et en bas de l'article, deux vidéos de démonstration de Saumil Shah.

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#6 ractamard

ractamard

    Touriste Martien

  • Zimien
  • PipPipPipPipPip
  • 213 Messages :
  • Gender:Male

Posté 13 juin 2015 - 10:07

Hello,
 

 

Recette du Xipister:

Acheter du Xipister est idiot: c'est cher et dégueulasse alors que le faire soi-même est rapide, bon et économique. Tu trouveras quelques recettes de Xipister sur internet mais aucune n'est véritablement satisfaisante, ils y mettent de l'huile ces cons alors que le Xipister sert à dégraisser les viandes et les poissons! Voici la recette familiale qui ne se transmet que par voie orale
Ingrédients:
Pour 75 cl:
- Ail
- Poivre en grain
- 1 ou 2 piments d'Espelette (au pire des guindillas)
- Vin blanc sec
- Vinaigre de vin blanc ou mieux de cidre basque
- Persil, laurier, thym
- Une bouteille de rosé
- Un bec verseur

Préparation:
- Prendre une bouteille de vin rosé (verre transparent) et la vider dans les chiottes. Le rosé n'est pas du vin mais si tu veux t'empoisonner, tu peux le boire aussi, ça ne changera rien au goût du Xipister...
- Mettre l'ail coupé en petits dés au fond de la bouteille. La recette est orale, pas vraiment de dosage précis mais une couche d'environ 5 cm devrait suffire.
- Rajouter le poivre en grain (une vingtaine de grains), le persil plat (3 branches), une ou deux feuilles de lauriers, et une branche de thym
- Fendre les piments et les y incorporer.
- Remplir la bouteille de vinaigre à environ 70%
- Compléter avec du vin blanc sec
- Positionner le bec verseur

- Laissez reposer minimum 15 jours dans un endroit sec et secouer la bouteille quand on y pense mais plus on est patient, meilleur c'est!
Utilisation:
On utilise toujours le Xipister pour déglacer en fin de cuisson afin qu'il garde son arôme, on peut aussi l'utiliser une fois la viande dans l'assiette. Il accompagnera honnêtement tes grillades de volailles ou de porc et deviendra carrément magique avec du poisson ou de l'agneau. Voilà pourquoi l'agneau ou une dorade au Pays Basque n'aura jamais le même goût qu'à Bordeaux!
Consignes:
Te voici dépositaire d'un lourd secret de famille. "Un grand pouvoir implique de grandes responsabilités" (Spiderman), tu as le droit de la diffuser autant que tu veux et même de l'adapter à ton goût mais tu dois aussi impérativement tester!

 


Image IPB

#7 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 096 Messages :
  • Gender:Male

Posté 13 juin 2015 - 10:22

:D

 

Bien joué, je vois que le truc a pris !

 

 

Bravo et merci à Cudoinj aussi, super idée son truc.

 

 

(je n'ai pas le temps de participer à ces jeux d'investigation, mais je ne suis pas contre vous suivre plus dans vos cheminements pour comprendre.)



#8 Thelwin Argon

Thelwin Argon

    Thelwinneur

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 256 Messages :
  • Gender:Male
  • Location:Suisse

Posté 31 août 2015 - 19:07

En parlant de stéganographie, les images du topic éponyme sont toutes "mortes" : http://infomars.fr/f...?showtopic=1809

 

Les as-tu encore en stock, Txon ??? Si vous voulez, on peut se faire un petit "uploader" d'image pour IM, j'en ai un tout prêt, me faut juste votre accord et je vous mets ça en place en deux temps trois mouvements, afin d'éviter à l'avenir que la disparition d'un service fasse disparaitre les images de nos dossiers ;)


Sauf pathologie mentale profonde, tout le monde est bon en maths. | Albert Jacquard
——————————————————
Deux excès : exclure la raison, n'admettre que la raison. | Blaise Pascal

#9 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 096 Messages :
  • Gender:Male

Posté 31 août 2015 - 19:11

On a la fonction native du forum, de toute façon, ;)

 

et au niveau de l'espace, ça ne pose pas de problème (en tout cas pour des images).



#10 Thelwin Argon

Thelwin Argon

    Thelwinneur

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 256 Messages :
  • Gender:Male
  • Location:Suisse

Posté 31 août 2015 - 21:17

On a la fonction native du forum, de toute façon, ;)

 

et au niveau de l'espace, ça ne pose pas de problème (en tout cas pour des images).

 

Ah ! My bad, quand je cliquais sur "image" j'avais que la possibilité de mettre un lien, j'avais oublié la possibilité de mettre des fichiers joints dans l'éditeur, en bas, en dessous du champ de texte ^^'


Sauf pathologie mentale profonde, tout le monde est bon en maths. | Albert Jacquard
——————————————————
Deux excès : exclure la raison, n'admettre que la raison. | Blaise Pascal

#11 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 096 Messages :
  • Gender:Male

Posté 31 août 2015 - 21:27

On va avoir bientôt un hébergement assez large, en plus. ;)



#12 Thelwin Argon

Thelwin Argon

    Thelwinneur

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 256 Messages :
  • Gender:Male
  • Location:Suisse

Posté 31 août 2015 - 22:00

Quoiqu'il en soit, si besoin est j'ai un joli drag-n-drop en html 5 un peu tweaké qui permet l'upload d'image très facilement. ^^


Sauf pathologie mentale profonde, tout le monde est bon en maths. | Albert Jacquard
——————————————————
Deux excès : exclure la raison, n'admettre que la raison. | Blaise Pascal

#13 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 096 Messages :
  • Gender:Male

Posté 01 septembre 2015 - 06:46

Faudra que je trouve le temps d'en coder un aussi à l'occésion. ;)

 

 

Mais en toute franchise, IPB est une telle usine à gaz que moins on en ajoutera, mieux ça vaudra. :)





1 utilisateur(s) en train de lire ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)