image

Windows rootkit verstopt instructies in JPG

maandag 26 september 2011, 13:53 door Redactie, 7 reacties

Een nieuwe variant van de beruchte Alureon-rootkit, blijkt via afbeeldingen met besmette Windows computers te communiceren. Dat ontdekte Scott Molenkamp van het Microsoft Malware Protection Center. De malware blijkt vanaf gratis weblogs allerlei JPG-afbeeldingen te downloaden. Na verder onderzoek ontdekte Molenkamp dat elke JPG-afbeelding een volledig configuratiebestand bevat, dat via steganografie is verborgen.

In het configuratiebestand staat een lijst met adressen van command & control (C&C) servers. De methode dient als back-up in het geval de bestaande domeinen offline worden gehaald. Als de besmette computer geen verbinding met de C&C-servers kan maken, zal Alureon een nieuwe configuratie via de JPG-afbeeldingen downloaden, waardoor het botnet kan blijven functioneren.

Molenkamp merkt op dat het inbedden en obfusceren van gegevens binnen een JPG-bestand niks nieuws is. "Het is wel interessant om te zien dat Alureon deze techniek als beschermingsmaatregel toepast."

Reacties (7)
26-09-2011, 14:41 door Anoniem
dus zoiets als 'copy /B Afbeelding.jpg + Data.zip Datainafbeelding.zip'?
26-09-2011, 15:51 door Anoniem
nee anoniempje, alternate file streams kun je niet via http downloaden
steganography is veel cooler ... door een minimale aanpassing aan de kleuren (onzichtbaar voor het menselijk oog) kun je in elke opgeslagen byte een stuk extra data kwijt
26-09-2011, 16:24 door Wim ten Brink
Nee, anoniemple 1 heeft het niet over alternatieve streams. Eerder over het aan elkaar plakken van bestanden. En nee, dat gebeurt hier ook niet!

Even een beginnerscursus stenografie: een afbeelding bestaat uit pixels. En iedere pixel bestaat uit drie kleuren (rood, groen, blauw) en voor iedere kleur wordt 1 byte, ofwel 8 bits gereserveerd. Een plaatje van 100x100 pixels bestaat dus uit 30.000 bytes, ofwel 240.000 bits.
Door nu van iedere byte de laatste, minst belangrijke bit te vervangen door een bit uit je data kun je extra informatie verbergen in een plaatje. Zo kun je in iedere pixel dus 3 bits verbergen. Met 3 bytes heb je al een gehele verborgen byte beet, plus een eventuele check-bit. Een plaatje van 30.000 kan dus 10.000 bytes aan data bevatten. En dat is best veel.
Om dit in een JPG bestand te doen is iets moeilijker omdat er bij compressie naar JPG enig dataverlies kan optreden. Dat maakt het algoritme om stenografie op JPG bestanden toe te passen iets lastiger.
26-09-2011, 17:17 door Anoniem
Door WorkshopAlex: Nee, anoniemple 1 heeft het niet over alternatieve streams. Eerder over het aan elkaar plakken van bestanden. En nee, dat gebeurt hier ook niet!

Even een beginnerscursus stenografie: een afbeelding bestaat uit pixels. En iedere pixel bestaat uit drie kleuren (rood, groen, blauw) en voor iedere kleur wordt 1 byte, ofwel 8 bits gereserveerd. Een plaatje van 100x100 pixels bestaat dus uit 30.000 bytes, ofwel 240.000 bits.
Door nu van iedere byte de laatste, minst belangrijke bit te vervangen door een bit uit je data kun je extra informatie verbergen in een plaatje. Zo kun je in iedere pixel dus 3 bits verbergen. Met 3 bytes heb je al een gehele verborgen byte beet, plus een eventuele check-bit. Een plaatje van 30.000 kan dus 10.000 bytes aan data bevatten. En dat is best veel.
Om dit in een JPG bestand te doen is iets moeilijker omdat er bij compressie naar JPG enig dataverlies kan optreden. Dat maakt het algoritme om stenografie op JPG bestanden toe te passen iets lastiger.
Dank je voor de uitleg!
26-09-2011, 17:34 door Anoniem
Ah, bedankt voor de uitleg, klinkt heel interessant!
26-09-2011, 23:13 door spatieman
we gaan hier nu niet in JPG communiceren in de toekomst he..
27-09-2011, 08:17 door Anoniem
Deze techniek gebruiken ze niet alleen in JPEG bestanden, het werkt prima in ieder bestandsformaat waarbij geen merkbaar dataverlies optreed. Ik heb voorbeelden gezien van .mpg/mp3/wav etc
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.