Windows rootkit verstopt instructies in JPG

26-09-2011,13:53 doorRedactie

Een nieuwe variant van de beruchte Alureon-rootkit, blijkt via afbeeldingen met besmette Windows computers te communiceren. Dat ontdekte Scott Molenkamp van het Microsoft Malware Protection Center. De malware blijkt vanaf gratis weblogs allerlei JPG-afbeeldingen te downloaden. Na verder onderzoek ontdekte Molenkamp dat elke JPG-afbeelding een volledig configuratiebestand bevat, dat via steganografie is verborgen.

In het configuratiebestand staat een lijst met adressen van command & control (C&C) servers. De methode dient als back-up in het geval de bestaande domeinen offline worden gehaald. Als de besmette computer geen verbinding met de C&C-servers kan maken, zal Alureon een nieuwe configuratie via de JPG-afbeeldingen downloaden, waardoor het botnet kan blijven functioneren.

Molenkamp merkt op dat het inbedden en obfusceren van gegevens binnen een JPG-bestand niks nieuws is. "Het is wel interessant om te zien dat Alureon deze techniek als beschermingsmaatregel toepast."

Google werkt aan oplossing voor SSL-aanval

Special: DigiNotar-hack was amateuristisch

Reacties

26-09-2011,

14:41 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

dus zoiets als 'copy /B Afbeelding.jpg + Data.zip Datainafbeelding.zip'?

15:51 door

nee anoniempje, alternate file streams kun je niet via http downloaden
steganography is veel cooler ... door een minimale aanpassing aan de kleuren (onzichtbaar voor het menselijk oog) kun je in elke opgeslagen byte een stuk extra data kwijt

16:24 door

WorkshopAlex

Nee, anoniemple 1 heeft het niet over alternatieve streams. Eerder over het aan elkaar plakken van bestanden. En nee, dat gebeurt hier ook niet!

Even een beginnerscursus stenografie: een afbeelding bestaat uit pixels. En iedere pixel bestaat uit drie kleuren (rood, groen, blauw) en voor iedere kleur wordt 1 byte, ofwel 8 bits gereserveerd. Een plaatje van 100x100 pixels bestaat dus uit 30.000 bytes, ofwel 240.000 bits.
Door nu van iedere byte de laatste, minst belangrijke bit te vervangen door een bit uit je data kun je extra informatie verbergen in een plaatje. Zo kun je in iedere pixel dus 3 bits verbergen. Met 3 bytes heb je al een gehele verborgen byte beet, plus een eventuele check-bit. Een plaatje van 30.000 kan dus 10.000 bytes aan data bevatten. En dat is best veel.
Om dit in een JPG bestand te doen is iets moeilijker omdat er bij compressie naar JPG enig dataverlies kan optreden. Dat maakt het algoritme om stenografie op JPG bestanden toe te passen iets lastiger.

17:17 door

Door WorkshopAlex: Nee, anoniemple 1 heeft het niet over alternatieve streams. Eerder over het aan elkaar plakken van bestanden. En nee, dat gebeurt hier ook niet!

Even een beginnerscursus stenografie: een afbeelding bestaat uit pixels. En iedere pixel bestaat uit drie kleuren (rood, groen, blauw) en voor iedere kleur wordt 1 byte, ofwel 8 bits gereserveerd. Een plaatje van 100x100 pixels bestaat dus uit 30.000 bytes, ofwel 240.000 bits.
Door nu van iedere byte de laatste, minst belangrijke bit te vervangen door een bit uit je data kun je extra informatie verbergen in een plaatje. Zo kun je in iedere pixel dus 3 bits verbergen. Met 3 bytes heb je al een gehele verborgen byte beet, plus een eventuele check-bit. Een plaatje van 30.000 kan dus 10.000 bytes aan data bevatten. En dat is best veel.
Om dit in een JPG bestand te doen is iets moeilijker omdat er bij compressie naar JPG enig dataverlies kan optreden. Dat maakt het algoritme om stenografie op JPG bestanden toe te passen iets lastiger.

Dank je voor de uitleg!

17:34 door

Ah, bedankt voor de uitleg, klinkt heel interessant!

23:13 door

spatieman

we gaan hier nu niet in JPG communiceren in de toekomst he..

27-09-2011,

08:17 door

Deze techniek gebruiken ze niet alleen in JPEG bestanden, het werkt prima in ieder bestandsformaat waarbij geen merkbaar dataverlies optreed. Ik heb voorbeelden gezien van .mpg/mp3/wav etc

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login