1: 名無しさん 2016/12/12(月) 08:04:34.02 ID:CAP_USER9
人気のウェブサイトに表示されているバナー広告の画像に見た目にはわからないデータ隠蔽技術「ステガノグラフィー」を細工することで、ユーザーのPCの脆弱性に付けこみマルウェアを送り込むというハッキング手法が発見されています。

Readers of popular websites targeted by stealthy Stegano exploit kit hiding in pixels of malicious ads
http://www.welivesecurity.com/2016/12/06/readers-popular-websites-targeted-stealthy-stegano-exploit-kit-hiding-pixels-malicious-ads/

Hacking Millions with Just an Image ? Recipe: Pixels, Ads & Exploit Kit
http://thehackernews.com/2016/12/image-exploit-hacking.html

セキュリティ対策企業のESETの研究者が、バナー広告に埋め込まれた不審なプログラムを発見しました。
この画像はいわゆるステガノグラフィーであり、PNG画像の透明度を定義するアルファチャンネル内に悪質なJavaScriptコードを埋め込んでおり、肉眼でプログラムが仕込まれていることに気づくことは不可能だとのこと。
no title

このステガノグラフィーを使ったマルウェア感染の仕組みは以下の図で示されています。(1)ユーザーがウェブサイトを訪問し、(2)悪意のあるコードを埋め込んだステガノグラフィーが表示されます。
すると、(3)画像内に埋め込まれたスクリプトが攻撃者のサーバーに侵入したコンピューターの情報を送信、ウェブブラウザのInternet Explorer(IE)とAdobe Flash Playerのセキュリティホールをついて、(4)PCにマルウェアを送り込むというもの。
その後、スパイウェアやトロイの木馬などをダウンロードするようになるそうです。

http://gigazine.net/news/20161212-stegano-exploit-kit/

75: 名無しさん 2016/12/12(月) 08:45:57.02 ID:Vp2o+aip0
>>1 
>>セキュリティ対策企業のESETの研究者が、バナー広告に埋め込まれた不審なプログラムを発見しました。

嘘つけ、おまえらが作ったんだろうが
(いつもの、自作自演)WWW

262: 名無しさん 2016/12/12(月) 14:22:00.11 ID:aWLkoRFv0
>>75
ESET使ってるが、実際彼らがそんなに優秀とは思えない・・・

157: 名無しさん 2016/12/12(月) 09:59:32.69 ID:11KZ8zS20
>>1
ボーンズの天才犯罪者かよ
すげーな
画面に表示させたらアウトとか恐いわ

165: 名無しさん 2016/12/12(月) 10:12:33.24 ID:6cpSYp9W0
>>1
呪いのビデオ的な何かかと

177: 名無しさん 2016/12/12(月) 10:27:19.08 ID:1xjsV0Df0
>>1 見た感じだとステガノとちょっと違うような気がするけど…
輝度やら画素を操作してデータを埋め込むとかじゃないっけ
今回はベタで埋め込んだスクリプトをブラウザに実行させる手法に見えるけど

187: 名無しさん 2016/12/12(月) 10:40:10.54 ID:Yt9gmyZv0
>>1
だれが見つけたの?
オバケ?

224: 名無しさん 2016/12/12(月) 12:13:27.57 ID:yGu+spvB0
>>1
> (2)悪意のあるコードを埋め込んだステガノグラフィーが表示されます。
> すると、(3)画像内に埋め込まれたスクリプトが攻撃者のサーバーに侵入したコンピューターの情報を送信
これ、
 ・画像からスクリプトを抜きだし、
 ・JAVAに投げる
操作が必要だと思うけど、それは誰(何)がやってるの?

228: 名無しさん 2016/12/12(月) 12:22:01.22 ID:aBGUhtDL0
>>224
ブラウザ が 実行する
あと、JavaScript と JAVA は違うぞ
JavaScript は クライアントサイドスクリプト
使用者のパソコンのブラウザ上で動作する

JAVAは基本的にはサーバーサイドプログラム
使用者のパソコンではなく、WAN側(インターネット側)のサーバーで動作する

274: 名無しさん 2016/12/12(月) 14:52:53.36 ID:yGu+spvB0
>>228>>251
レスありがとう

> JavaScript は クライアントサイドスクリプト
> 使用者のパソコンのブラウザ上で動作する
「JavaScript」って書くから実行主体(てかインタープリター?)がJAVAなのかと思ってた
ブラウザ(に組み込まれたJava拡張)がスクリプトを解釈して実行してくれるんだね
(この辺の知識があいまいで申し訳ない)

> 単に画像の拡張属性をHTMLコードとしてパースさせるイケてない仕様が内在してるとかじゃないかな
>>1をよく読むと、のこの部分、
> PNG画像の透明度を定義するアルファチャンネル内に悪質なJavaScriptコードを埋め込んでおり
アルファチャンネルってのは、画像データではなくテキストデータなんですね
で、ブラウザが既に持つ機能に「拡張属性をHTMLコードとしてパースさせるイケてない仕様」があると・・・
(パースって、むかしyaccとかで聞いたパーサの動詞形のことですね)

よく分かりました。 どうもありがとう

251: 名無しさん 2016/12/12(月) 13:44:23.45 ID:1xjsV0Df0
>>224
単に画像の拡張属性をHTMLコードとしてパースさせるイケてない仕様が内在してるとかじゃないかな

230: 名無しさん 2016/12/12(月) 12:25:49.67 ID:kaHKKG8F0
>>1
>(3)画像内に埋め込まれたスクリプトが攻撃者のサーバーに侵入したコンピューターの情報を送信

この手順てなんで必要なんだろうな。
画像内に攻撃するだけのスクリプトは埋め込めないって事?

231: 名無しさん 2016/12/12(月) 12:28:04.37 ID:aBGUhtDL0
>>230
JavaScript は 基本的にブラウザ上で動作するヤツだから
PCになんかするつもりなら別の取ってきた方が早い
ファイルサイズも小さく出来るし

233: 名無しさん 2016/12/12(月) 12:28:15.91 ID:5RNGAilL0
>>230
攻撃って具体的にどんな?

ブラウザ上で動くものはブラウザができることしかできんよ
フラッシュは別枠になるが

238: 名無しさん 2016/12/12(月) 12:38:05.16 ID:kSokUJWL0
>>1
忍者みたいな奴だな
隠れて相手方に侵入して進入経路を確認し
親方に報告し
親方から本体が送られてきた進入経路を使って侵入とか
スパイとか忍者映画みたいね

2: 名無しさん 2016/12/12(月) 08:06:19.76 ID:ffXtjsqq0
人間に感染するっとこと?
なにそれ怖い

196: 名無しさん 2016/12/12(月) 11:03:05.54 ID:6ddBNjyk0
>>2
落ち着きなさいよアンタ

273: 名無しさん 2016/12/12(月) 14:47:05.75 ID:eKB96PhI0
>>2
Ω ΩΩ< な、なんだってー!!

275: 名無しさん 2016/12/12(月) 15:48:39.61 ID:aAFoAJ/d0
>>2
そんな漫画があったな
人間の細胞に感染させて殺す

4: 名無しさん 2016/12/12(月) 08:06:35.83 ID:uEwkyPzK0
人間の目に自動的にコードを焼き付けて
自動的にウイルスを感染させるのかと、おもってびびった

180: 名無しさん 2016/12/12(月) 10:30:53.30 ID:AIgtwXLy0
>>4
俺もw
QRコードかなんか目に写して
それを読み込んで感染させるのかと思ったわw

259: 名無しさん 2016/12/12(月) 14:16:09.70 ID:INKH8R2A0
>>4
どんな攻殻機動隊だよw

5: 名無しさん 2016/12/12(月) 08:06:54.18 ID:w/yL+/p60
ステマノグラフィー?

246: 名無しさん 2016/12/12(月) 13:09:40.59 ID:lP9a0b5P0
>>5
それ電通

6: 名無しさん 2016/12/12(月) 08:07:08.14 ID:+S5OY3bU0
つまり、、、情弱には理解出来んorz

9: 名無しさん 2016/12/12(月) 08:08:36.16 ID:OtSjXpdP0
そういやPSPハックで画像読み込ませるとかあったなー

70: 名無しさん 2016/12/12(月) 08:41:32.27 ID:7v9V1HyI0
>>9
あれはデコーダーの脆弱性ついて、任意のアドレスのコードを実行してたんだよな

10: 名無しさん 2016/12/12(月) 08:09:05.76 ID:7uJ6ncGl0
どうやって実行するんだ

14: 名無しさん 2016/12/12(月) 08:11:58.40 ID:2Qatbxfs0
>>10
javascriptの時点で、イベント動作だろうから
ページ表示の動作で動くんじゃねーかな

後はセキュリティソフトでどこまで防いでくれるか

20: 名無しさん 2016/12/12(月) 08:14:25.46 ID:7apBzkbs0
>>14
可能?

225: 名無しさん 2016/12/12(月) 12:14:07.87 ID:AkxPk5z60
>>20
JvaScriptが吐き出すコードによっては今でも可能
サンドボックスで無能化することも可能

今の事例だけならばな

13: 名無しさん 2016/12/12(月) 08:11:43.68 ID:JQTtmgLn0
すっと前から似たようなウイルスあるよね

17: 名無しさん 2016/12/12(月) 08:12:31.72 ID:YqSj+nkN0
今PC使ってる奴で広告ブロッカー使ってない奴なんて居ないだろ

23: 名無しさん 2016/12/12(月) 08:16:16.11 ID:nWibHqrf0
>>17
広告ブロッカーがスパイウェアでは?

45: 名無しさん 2016/12/12(月) 08:25:35.83 ID:YqSj+nkN0
>>23
訳の分からない敵は敵でしか無いが、訳の分かってる敵は上手く使えば有用なんだよ
スパイもどきの所を封じ込めれば良いだけの話だし
それ位の事はみんなやってるだろ
フグが美味いからって毒も一緒にバリバリ食うヤツは単なるマヌケだ

30: 名無しさん 2016/12/12(月) 08:19:51.03 ID:4dRKNvVv0
>>17
そのソフト自体スパイの可能性が高いってのにバカだな

22: 名無しさん 2016/12/12(月) 08:15:59.09 ID:NfMGZRVm0
.pngを再生したらコードが実行されるの?

24: 名無しさん 2016/12/12(月) 08:16:27.44 ID:M0olEr890
画像に埋め込む理由はなに?
ソースに書いておけばいいのでは?

33: 名無しさん 2016/12/12(月) 08:20:59.65 ID:pXHVjB3Y0
>>24
サイトを乗っ取った時に元画像とすり替えておけば復旧したあとにも残るかも知れない。見た目判らんし

49: 名無しさん 2016/12/12(月) 08:27:56.62 ID:JQTtmgLn0
>>24
広告ならyahooトップにも貼れる

232: 名無しさん 2016/12/12(月) 12:28:10.39 ID:TjM2Uvu/0
>>49
こわ

26: 名無しさん 2016/12/12(月) 08:16:54.08 ID:rgR9rDwO0
ステガノグラフが情報隠蔽技術なのに何も設定してないブラウザに解読されたらだめだろ。しかも、隠蔽された情報を実行するクライアントがあるのも驚き。

27: 名無しさん 2016/12/12(月) 08:17:33.96 ID:dZ6BIaF20
画像ファイルって変わった構造してて、ヘッダー部にパレット位置、画像データ位置が示されてる。それ以外のギャップ位置に何か別のデータを置いとく事も可能なのよね。

20年位前、ミッキーマウスの画像にエミュレータソフトのデータを入れて配布してたヤツがいたな

74: 名無しさん 2016/12/12(月) 08:45:37.65 ID:7v9V1HyI0
>>27
うめーこのみかん 懐かしいな

31: 名無しさん 2016/12/12(月) 08:20:43.22 ID:VdlP6qJU0
ウィルスが、視覚データ形式で仕込まれてるから、PCが画面に表示するけどわからないてだけかよ。
発見しにくいってだけの話か?

38: 名無しさん 2016/12/12(月) 08:22:49.54 ID:U9XgMQ6K0
IEとかFlashとか自殺行為

48: 名無しさん 2016/12/12(月) 08:27:54.07 ID:YyTIsojU0
そもそも、IEに何でPNG内のコードを実行する仕組みがあるのかって話だわな
何か目的があって仕込んでいたモノが悪用されたって事だろ?

58: 名無しさん 2016/12/12(月) 08:30:53.86 ID:HvX4qNbi0
>>48
昔、元の画像の一部(局部とか)にGLMASKなどでモザイク処理をかけて、その復元コードをjpgに埋め込む手法があったな

54: 名無しさん 2016/12/12(月) 08:29:37.38 ID:aUvLyRyG0
PNG規制くるのか

61: 名無しさん 2016/12/12(月) 08:34:16.42 ID:o+NIoWeb0
>>54
PNGがそんなに危険だったなんて!

144: 名無しさん 2016/12/12(月) 09:38:07.06 ID:9j2cg8/b0
>>61
no title

引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1481497474/

にほんブログ村 2ちゃんねるブログ 2ちゃんねる(その他・いろいろ)へ