Schadsoftware: Angriff versteckt Code in PNG-Dateien

Sucuri berichtet von einem interessanten Weg, Schadcode vor Scannern zu verstecken. Die fragwürdigen Codeteile werden einfach in der Bilddatei versteckt, die mit harmlosem Javascript ausgelesen wird.

Artikel veröffentlicht am ,
Hinter dem harmlosen Bildaufruf versteckt sich weiterer Schadcode.
Hinter dem harmlosen Bildaufruf versteckt sich weiterer Schadcode. (Bild: Sucuri)

Peter Gramantik von Sucuri berichtet in einem Blogpost von einem Sicherheitsproblem, das in der Theorie schon länger bekannt ist. Prinzipiell lässt sich Schadcode in Bilddateien verstecken. Dabei wird die Bilddatei per Javascript aufgerufen und der Schadcode durch diesen über eine Schleife erst decodiert.

In dem von Gramantik entdeckten Fall wird die Bilddatei im PNG-Format für eine iFrame-Injektion verwendet. Das iFrame wird, wie auch die Bilddatei, außerhalb des Bildschirms positioniert, so dass nur der Browser, nicht aber der Anwender die dortigen Inhalte sieht. Die Technik eigne sich gut für Search Engine Poisoning und Drive-By-Downloads, so Gramantik.

Der Angriff hat ein paar Vorteile. Wer nur seinen Code auf seiner Webseite durchstöbert, wird diesen nicht so schnell ausfindig machen. Zudem schließen die vielen Virenscanner einen Scan von Bilddateien nicht ein, sondern konzentrieren sich auf die Analyse des sichtbaren Javascripts.

Nachtrag vom 7. Februar 2014, 9:42 Uhr

Wir hatten ursprünglich berichtet, dass sich der Schadcode in den Metadaten des Bildes befindet. Tatsächlich werden jedoch die Bildinformationen selbst ausgewertet. Der Artikel wurde entsprechend angepasst, wir bitten den Fehler zu entschuldigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Mozilla
Neue Thunderbird-Version behebt Abstürze unter Windows
artikel-bild
Monero
Werbeanzeigen mit verstecktem Kryptomining auch auf Youtube
artikel-bild
ROBOT-Angriff
Arbeitsagentur nutzt uralte Cisco-Geräte
Meistgelesen
artikel-bild
Powerstation vs Balkonkraftwerk
Mit welcher Lösung sich am besten Energie sparen lässt
artikel-bild
Energiewende
Solarstrom aus dem All
artikel-bild
Energiewende in Sachsen-Anhalt
Installation von Balkonkraftwerken steigt deutlich
Kommentarübersicht
Re: Der Artikel hat inhaltliche Fehler...
as (Golem.de) 07. Feb 2014

Hallo, ja leider... Ich habe den Artikel korrigiert. Die Metadaten des Ur-Artikels werden...

Virenscanner
ploedman 06. Feb 2014

Also mein Virenscanner, scannt auch die Bilder, die ich per Web aufrufe. Das merke ich...

URL im Bild
newMatt 06. Feb 2014

Hi Leute, Ich wollte die URL im Bild (http://********.com) googlen und hab sie aus...

Re: "außerhalb des Bildschirms" :-)
Suven 06. Feb 2014

Viewport ist der aktuell sichtbare Bereich einer Seite, den man durch scrollen...

Aktuell auf der Startseite von Golem.de
Landkreis Lüneburg
Anwohner mit Ponys protestieren gegen Telekom-Sendemast

Ein 40 Meter hoher Funkmast lässt Bewohner im Großraum Lüneburg um ihr Leben fürchten. Besonders den Ponyhof sieht man durch 5G bedroht.

Landkreis Lüneburg: Anwohner mit Ponys protestieren gegen Telekom-Sendemast
Artikel
  1. Microsoft Azure: Tippfehler führt zu zehnstündigem Cloud-Ausfall
    Microsoft Azure
    Tippfehler führt zu zehnstündigem Cloud-Ausfall

    Statt eines Schnappschusses hat ein Azure-Team von Microsoft sämtliche produktive Datenbanken eines Dienstes gelöscht.

  2. Energiewende: Solarstrom aus dem All
    Energiewende
    Solarstrom aus dem All

    Das Konzept ist ein halbes Jahrhundert alt: sauberen Strom im All zu erzeugen und zur Erde zu übertragen. Das erste Experiment dazu ist jetzt offenbar geglückt.
    Ein Bericht von Werner Pluta

  3. KI-Texte erkennen: Wer hat's geschrieben, Mensch oder Maschine?
    KI-Texte erkennen
    Wer hat's geschrieben, Mensch oder Maschine?

    Modelle wie ChatGPT sind so gut, dass sich KI- und Menschen-Texte kaum unterscheiden lassen. Forscher arbeiten nun an Verfahren, die sich nicht täuschen lassen.
    Ein Deep Dive von Andreas Meier

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • PS5 inkl. GoW Ragnarök oder CoD MW2 549€ • MSI RTX 4070 Ti 999€ • Gigabyte 43" 4K UHD 144 Hz 717€ • Amazon FireTV Smart-TVs bis -32% • MindStar: AMD Ryzen 7 5800X3D 285€, PowerColor RX 7900 XTX Hellhound 989€ • SanDisk Ultra NVMe 1TB 39,99€ • Samsung 980 1TB 45€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /