This post is also available in: Português
Pesquisador conseguiu inserir conteúdos ZIP e MP3 em fotos PNG da rede social, descobrindo um método viável para distribuir malware e driblar programas de segurança.
Imagine poder esconder arquivos de até 3mb dentro de fotos hospedadas no Twitter. Talvez esse tamanho não pareça muito grande, mas é o suficiente para armazenar diversos tipos de malware – que ficariam dentro de imagens aparentemente inocentes.
O ato de ocultar dados não relacionados à imagem se chama esteganografia, e não é uma técnica recente. Contudo, a novidade é o fato de as imagens poderem ser hospedadas em um site popular como o Twitter, com a possibilidade de serem exploradas por agentes mal-intencionados.
Quem descobriu a técnica foi o pesquisador e programador David Buchanan, que anexou imagens de exemplo a seus tweets que continham arquivos ZIP e MP3 ocultos.
Embora os PNG anexados hospedados no Twitter representem imagens válidas quando visualizados, bastou baixar e alterar sua extensão de arquivo para obter conteúdo diferente do mesmo arquivo.
Um dos exemplos era uma imagem de 6 KB tuitada pelo pesquisador, que continha um arquivo ZIP completo. Dentro dele, havia um código-fonte que qualquer pessoa pode usar para compactar conteúdos diversos em uma imagem PNG.
O pesquisador também forneceu o código-fonte para gerar o que ele chama de “Arquivos PNG Poliglotas Tuitáveis” no GitHub.
“Baixe este aqui, renomeie para .mp3 e abra no VLC para ter uma surpresa. Certifique-se de baixar a versão de resolução completa do arquivo, que deve ser de 2048 x 2048 pixels”, disse o pesquisador.
A imagem localizada no servidor de imagem do Twitter tem aproximadamente 2,5 MB e pode ser salva com uma extensão “.mp3”. Uma vez aberto, o arquivo de imagem – agora transformado em MP3 – começaria a tocar a música Never Gonna Give You Up, de Rick Astley.
Como funciona
O Twitter comprime imagens na maioria das vezes, mas há alguns casos em que isso não acontece. A rede social também tenta remover quaisquer metadados não essenciais, de forma que qualquer técnica de esteganografia em tese não funcionaria.
Entretanto, o truque descoberto pelo pesquisador é que pode-se anexar dados ao final do fluxo ‘DEFLATE’ – a parte do arquivo que armazena os dados de pixel compactados – e o Twitter não os removerá.
Técnicas do tipo costumam ser aproveitadas por agentes de ameaças, pois permitem que eles ocultem comandos maliciosos, carga útil e outros conteúdos em arquivos de aparência comum, como imagens. Há poucos dias, foi noticiada uma nova técnica de exfiltração em que cibercriminosos ocultavam dados roubados de cartões de crédito em imagens JPG.
Oportunidade maliciosa
O fato de o Twitter nem sempre remover informações estranhas de uma imagem, como demonstrado por Buchanan, abre espaço para o abuso da plataforma por parte de crackers. Além disso, o que representa um desafio adicional é o bloqueio do tráfego de imagens do Twitter, podendo impactar operações legítimas.
Por exemplo, um administrador de rede bloqueando o domínio de imagem do Twitter pbs.twimg.com também faria com que imagens autênticas hospedadas no Twitter fossem bloqueadas. Assim, não seria possível separar o joio do trigo.
Entretanto, Buchanan acredita que sua técnica pode não ser particularmente útil por si só, pois outros métodos de esteganografia são mais práticos e eficientes. No entanto, o método poderia ser usado por malwares para facilitar suas atividades C2 de comando e controle.
Ainda assim, como o Twitter pode ser considerado um host seguro pelos sistemas de monitoramento de rede, a distribuição de malware via Twitter usando esses arquivos de imagem continua sendo um método viável para driblar os programas de segurança.
Alertando a rede
Buchanan já foi questionado se o Twitter estava ciente dessa vulnerabilidade. De acordo com o pesquisador, ele relatou seu “truque” original aos responsáveis pela rede social, que era baseado em JPEG, para o programa bug bounty do Twitter. “Na época, disseram que não era um bug de segurança, então desta vez eu não me preocupei em relatar isso a eles”.
Esse primeiro contato aconteceu em 2018, quando o pesquisador tuitou uma pequena miniatura em JPG que continha a coleção do Project Gutenberg de As Obras Completas de William Shakespeare.
Anteriormente, os invasores usavam serviços legítimos como o Imgur para hospedar suas imagens, que mais tarde foram usadas para armazenar a carga útil do Cobalt Strike – uma ferramenta usada para detectar vulnerabilidades em sistemas. Eis o problema: cibercriminosos geralmente aproveitam-se de ferramentas do tipo para espalhar malware. Por sorte, a descoberta de Buchanan veio de um pesquisador, e não de cibercriminosos. Contudo, no mundo da segurança digital, contar com a sorte não é uma opção segura.
This post is also available in: Português
