• IT-Karriere:
  • Services:

Schadsoftware: Angriff versteckt Code in PNG-Dateien

Sucuri berichtet von einem interessanten Weg, Schadcode vor Scannern zu verstecken. Die fragwürdigen Codeteile werden einfach in der Bilddatei versteckt, die mit harmlosem Javascript ausgelesen wird.

Artikel veröffentlicht am ,
Hinter dem harmlosen Bildaufruf versteckt sich weiterer Schadcode.
Hinter dem harmlosen Bildaufruf versteckt sich weiterer Schadcode. (Bild: Sucuri)

Peter Gramantik von Sucuri berichtet in einem Blogpost von einem Sicherheitsproblem, das in der Theorie schon länger bekannt ist. Prinzipiell lässt sich Schadcode in Bilddateien verstecken. Dabei wird die Bilddatei per Javascript aufgerufen und der Schadcode durch diesen über eine Schleife erst decodiert.

Stellenmarkt
  1. COPA-DATA GmbH, Ottobrunn, Köln, Ludwigshafen
  2. Universität Potsdam, Potsdam

In dem von Gramantik entdeckten Fall wird die Bilddatei im PNG-Format für eine iFrame-Injektion verwendet. Das iFrame wird, wie auch die Bilddatei, außerhalb des Bildschirms positioniert, so dass nur der Browser, nicht aber der Anwender die dortigen Inhalte sieht. Die Technik eigne sich gut für Search Engine Poisoning und Drive-By-Downloads, so Gramantik.

Der Angriff hat ein paar Vorteile. Wer nur seinen Code auf seiner Webseite durchstöbert, wird diesen nicht so schnell ausfindig machen. Zudem schließen die vielen Virenscanner einen Scan von Bilddateien nicht ein, sondern konzentrieren sich auf die Analyse des sichtbaren Javascripts.

Nachtrag vom 7. Februar 2014, 9:42 Uhr

Wir hatten ursprünglich berichtet, dass sich der Schadcode in den Metadaten des Bildes befindet. Tatsächlich werden jedoch die Bildinformationen selbst ausgewertet. Der Artikel wurde entsprechend angepasst, wir bitten den Fehler zu entschuldigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

as (Golem.de) 07. Feb 2014

Hallo, ja leider... Ich habe den Artikel korrigiert. Die Metadaten des Ur-Artikels werden...

ploedman 06. Feb 2014

Also mein Virenscanner, scannt auch die Bilder, die ich per Web aufrufe. Das merke ich...

newMatt 06. Feb 2014

Hi Leute, Ich wollte die URL im Bild (http://********.com) googlen und hab sie aus...

Suven 06. Feb 2014

Viewport ist der aktuell sichtbare Bereich einer Seite, den man durch scrollen...

Gungosh 06. Feb 2014

Oha, das eine sind prinzipiell mögliche Techniken, das andere ist der reale Server...


Folgen Sie uns
       


Computer: Gebrauchsanleitung des Zuse Z4 gefunden
Computer
Gebrauchsanleitung des Zuse Z4 gefunden

Die Anleitung für den Zuse Z4 galt lange als verschollen, bis sie an einer ehemaligen Wirkungsstätte des Supercomputers der 40er und 50er Jahre entdeckt worden ist.


    Streaming: Amazon zeigt zwei neue Fire TV Sticks
    Streaming
    Amazon zeigt zwei neue Fire TV Sticks

    Amazon erweitert das Sortiment der Fire TV Sticks. Der Einstieg in die Streaming-Welt wird noch mal preisgünstiger.

    1. Streaming Neuer Fire TV Stick soll veränderte Fernbedienung erhalten

    Battery Day: Wie Tesla die Akkukosten halbieren will
    Battery Day
    Wie Tesla die Akkukosten halbieren will

    Größer, billiger und vor allem viel viel mehr. Tesla konzentriert sich besonders auf bessere und schnellere Akku-Herstellung.
    Ein Bericht von Frank Wunderlich-Pfeiffer

    1. Elektromobilität Tesla will zehn Prozent an LGs Akkusparte übernehmen
    2. Drei Motoren Tesla Model S Plaid kommt in 2 Sekunden auf 100 km/h
    3. Grünheide Tesla und Gigafactory-Kritiker treffen aufeinander

      •  /