1: ツームストンパイルドライバー(栃木県)@\(^o^)/ [CN]:2016/12/12(月) 08:51:14.69 ID:S8HfuR1c0
画像に人間の目には見えないコードを埋め込んで広告が表示されるだけで悪質マルウェアを
感染させる「ステガノグラフィー」が発見される

人気のウェブサイトに表示されているバナー広告の画像に見た目にはわからないデータ隠蔽技術
「ステガノグラフィー」を細工することで、ユーザーのPCの脆弱性に付けこみマルウェアを送り込むという
ハッキング手法が発見されています。

セキュリティ対策企業のESETの研究者が、バナー広告に埋め込まれた不審なプログラムを発見しました。
この画像はいわゆるステガノグラフィーであり、PNG画像の透明度を定義するアルファチャンネル内に悪質な
JavaScriptコードを埋め込んでおり、肉眼でプログラムが仕込まれていることに気づくことは不可能だとのこと。

このステガノグラフィーを使ったマルウェア感染の仕組みは以下の図で示されています。(1)ユーザーが
ウェブサイトを訪問し、(2)悪意のあるコードを埋め込んだステガノグラフィーが表示されます。すると、
(3)画像内に埋め込まれたスクリプトが攻撃者のサーバーに侵入したコンピューターの情報を送信、
ウェブブラウザのInternet Explorer(IE)とAdobe Flash Playerのセキュリティホールをついて、
(4)PCにマルウェアを送り込むというもの。その後、スパイウェアやトロイの木馬などをダウンロードするようになるそうです。

http://gigazine.net/news/20161212-stegano-exploit-kit/
2: チェーン攻撃(東京都)@\(^o^)/ [DE]:2016/12/12(月) 08:52:18.09 ID:+8Hfsq110.net
まーたFlashか
3: ムーンサルトプレス(東京都)@\(^o^)/ [US]:2016/12/12(月) 08:54:41.16 ID:LvT5gRCW0.net
flashか
4: ドラゴンスープレックス(東京都)@\(^o^)/ [NL]:2016/12/12(月) 08:56:04.11 ID:xHqiaxD50.net
>ウェブブラウザのInternet Explorer(IE)とAdobe Flash Playerのセキュリティホールをついて
IE使わにゃよろしい


5: サソリ固め(やわらか銀行)@\(^o^)/ [GB]:2016/12/12(月) 08:56:05.96 ID:tI8LJeja0.net
見破るためのツールないんかとおもたが
むしろそのツールにウィルス入れられる確率の方が高そうだなw
6: ショルダーアームブリーカー(長野県)@\(^o^)/ [US]:2016/12/12(月) 08:56:37.91 ID:WC5PcNIM0.net
>Flash Playerを使わないということと言えそうです。


ま た か
7: ドラゴンスープレックス(チベット自治区)@\(^o^)/ [US]:2016/12/12(月) 08:56:44.39 ID:Y2iwT13z0.net
某超大手企業のセキュリティ研修がFlashで作られててアホかと思ったな
8: 16文キック(埼玉県)@\(^o^)/ [ニダ]:2016/12/12(月) 08:56:55.05 ID:xVFSDdxE0.net
Chromeの俺は安泰?
9: 不知火(長野県)@\(^o^)/ [ニダ]:2016/12/12(月) 08:57:22.41 ID:o9/zUDxZ0.net
IEとFlashなんて情弱ツールじゃん
11: ダイビングエルボードロップ(SB-iPhone)@\(^o^)/ [ニダ]:2016/12/12(月) 08:58:46.30 ID:JYGiJV7F0.net
今時IEとFlashをインストールしている人なんていないからw
39: スリーパーホールド(茸)@\(^o^)/ [KR]:2016/12/12(月) 09:24:37.37 ID:Sc6XO/ec0.net
>>11
ところが大企業や大学の上層部はそんなの知らないから
12: TEKKAMAKI(やわらか銀行)@\(^o^)/ [CN]:2016/12/12(月) 09:00:33.51 ID:bdeVxniy0.net
PNGだけなのか?
13: リバースネックブリーカー(SB-iPhone)@\(^o^)/ [UA]:2016/12/12(月) 09:01:38.24 ID:9I36Ny3j0.net
IEか。
良かった
14: フルネルソンスープレックス(家)@\(^o^)/ [FR]:2016/12/12(月) 09:02:13.37 ID:abXvN/UX0.net
火狐だったらヤバかった
15: ジャンピングDDT(茸)@\(^o^)/ [US]:2016/12/12(月) 09:02:50.88 ID:DqNkPtDP0.net
FLASHとかいうサイバー犯罪者の味方
16: 頭突き(三重県)@\(^o^)/ [US]:2016/12/12(月) 09:03:11.51 ID:TWNY8qux0.net
でも、世間的にはかなりヤバイわ
18: シューティングスタープレス(中部地方)@\(^o^)/ [BY]:2016/12/12(月) 09:04:07.81 ID:B8NAw2sk0.net
なんで、画像内にあるスクリプトを実行するという処理を、組み込んだのか理解できんな。
画像は画像として処理すれば問題ないだろうに。
75: バックドロップ(やわらか銀行)@\(^o^)/ [ニダ]:2016/12/12(月) 10:13:56.58 ID:kVrlJraO0.net
>>18
そもそもここまで多彩な手法でハッキングが跋扈するとかウェブが構築された頃は想像もできなかったから
PNGっていうフォーマットの特質上表示の際にスクリプトを噛ませられる仕様なのは仕方ない
むしろ問題なのは穴を突ける状態のIEとFlash
20: ジャストフェイスロック(神奈川県)@\(^o^)/ [ニダ]:2016/12/12(月) 09:05:48.12 ID:1TS8TbjY0.net
ニコニコの脱Flashがうまく行ってないから困る
28: バズソーキック(愛媛県)@\(^o^)/ [DK]:2016/12/12(月) 09:10:28.94 ID:EiY8P6xv0.net
IEとFlashPlayerを最新にしてもダメなん?
29: TEKKAMAKI(茸)@\(^o^)/ [US]:2016/12/12(月) 09:11:38.19 ID:J/gpNtRH0.net
またIEか
30: バーニングハンマー(徳島県)@\(^o^)/ [LV]:2016/12/12(月) 09:12:08.50 ID:cEf4LtX70.net
艦これ厨の俺はどうしたら・・・
31: クロスヒールホールド(茸)@\(^o^)/ [ニダ]:2016/12/12(月) 09:13:21.75 ID:fNHQ4oNg0.net
でもこんなマルウェア、iPhoneには効かないでしょ?
32: キャプチュード(福井県)@\(^o^)/ [TW]:2016/12/12(月) 09:21:20.63 ID:seHuyICM0.net
IEとFlash Playerなんてつかってる情弱
34: 超竜ボム(静岡県)@\(^o^)/ [US]:2016/12/12(月) 09:22:48.26 ID:PTtnQvxP0.net
画像が表示された時点で感染するウィルスって事か
なんだよ見ただけでとか
35: 足4の字固め(やわらか銀行)@\(^o^)/ [ニダ]:2016/12/12(月) 09:22:49.68 ID:XS4p9Oyv0.net
しかし、すげぇ方法思いつくなぁ
36: 毒霧(庭)@\(^o^)/ [VE]:2016/12/12(月) 09:23:25.58 ID:hZ6Alk0P0.net
そもそも肉眼で確認できるウィルスなんてあんのかよ
38: 中年'sリフト(大阪府)@\(^o^)/ [CN]:2016/12/12(月) 09:24:25.36 ID:f4Otg7Sj0.net
とはいえIE使ってる奴まだ結構いるらしいね
42: 足4の字固め(やわらか銀行)@\(^o^)/ [ニダ]:2016/12/12(月) 09:25:51.10 ID:XS4p9Oyv0.net
>>38 IE推奨してる企業とか、結構残ってるからな
古い社内システムを更新する金が無いのも理由だけどさ
41: 超竜ボム(静岡県)@\(^o^)/ [US]:2016/12/12(月) 09:25:48.30 ID:PTtnQvxP0.net
つーか画像ファイルにメッセージ埋め込んだりはテロリストが連絡用によく使ってたよな
それをスクリプトにしただけだろ?
68: 閃光妖術(福岡県)@\(^o^)/ [CA]:2016/12/12(月) 10:09:14.24 ID:a2ERSJyx0.net
>>41
昔からある手法だよな
P2Pが流行る前は割れファイルを分割して画像に偽装してたりしたしw
50: パロスペシャル(catv?)@\(^o^)/ [CN]:2016/12/12(月) 09:51:41.21 ID:4RNYRBWi0.net
ニコニコみたいに
いまだにFlash使ってるところがやばいのかな?
52: サソリ固め(埼玉県)@\(^o^)/ [NL]:2016/12/12(月) 09:55:17.18 ID:WcpcUEn80.net
3秒あったら余裕で回避できるからw
53: フランケンシュタイナー(福岡県)@\(^o^)/ [US]:2016/12/12(月) 09:55:43.95 ID:IUBKmrv10.net
狐だしデフォでFlash切ってるし広告ブロック 二重で噛ませてる

つかIEってまだ使ってる人いるんだね
55: グロリア(大阪府)@\(^o^)/ [US]:2016/12/12(月) 09:59:00.38 ID:A2HpQWNk0.net
> Internet Explorer(IE)とAdobe Flash Playerのセキュリティホール


未だにこの組み合わせで使ってるやつのお脳に真のセキュリティーホールがある
58: ファルコンアロー(群馬県)@\(^o^)/ [JP]:2016/12/12(月) 10:03:00.04 ID:vP6oP/ai0.net
画像ファイル内のコードが実行できるってだれが仕様考えたんだよ?
アホ過ぎだろw
59: アルゼンチンバックブリーカー(大阪府)@\(^o^)/ [US]:2016/12/12(月) 10:03:28.44 ID:B8PG3RWS0.net
火狐つこうてるから問題なし
60: 目潰し(新疆ウイグル自治区)@\(^o^)/ [EU]:2016/12/12(月) 10:04:15.14 ID:TqF2ncTG0.net
IEとflashはわざとやってるようにしかみえん。
あいつら脆弱性を潰す気なんかないだろ。
67: サッカーボールキック(チベット自治区)@\(^o^)/ [ニダ]:2016/12/12(月) 10:07:55.27 ID:bjSyHeoN0.net
IEとFlashって脆弱性最悪の組合せだな
69: ローリングソバット(広西チワン族自治区)@\(^o^)/ [DE]:2016/12/12(月) 10:11:32.91 ID:+2lNh6o1O.net
そもそもPNG内にjavaSC埋め込めて動いちゃうって何やそれ、PNG規約の不備ちゃうか?
70: ストマッククロー(静岡県)@\(^o^)/ [NL]:2016/12/12(月) 10:12:18.23 ID:F85pXa1a0.net
さっきチョロメを押し売りされそうになったが断ってやた!
71: 16文キック(岩手県)@\(^o^)/ [ID]:2016/12/12(月) 10:12:22.30 ID:f4Y28upe0.net
>>1
>ウェブブラウザのInternet Explorer(IE)とAdobe Flash Playerのセキュリティホールをついて、

Flashしか対応してないサイトうぜー

透明度定義部分なんて数字だけだと思ってた。
PNGの仕様書とかまで読み込んでんだなー感心する。
そして広告を弾く理由がまたひとつできた。
74: 毒霧(東京都)@\(^o^)/ [KR]:2016/12/12(月) 10:13:32.91 ID:fXYAmEPQ0.net
Flashとか迷惑なだけやん
76: ファルコンアロー(dion軍)@\(^o^)/ [US]:2016/12/12(月) 10:15:30.35 ID:k8hkBL7N0.net
情弱性の脆弱性
77: ドラゴンスクリュー(茸)@\(^o^)/ [JP]:2016/12/12(月) 10:15:56.18 ID:GOFZEMMM0.net
ニコニコってまだフラッシュ?
78: 閃光妖術(福岡県)@\(^o^)/ [CA]:2016/12/12(月) 10:17:28.07 ID:a2ERSJyx0.net
>>77
今、HTML5への切り替えの最中だね
プレ垢を対象に人柱してるみたいw
79: ジャーマンスープレックス(茸)@\(^o^)/ [CA]:2016/12/12(月) 10:20:51.99 ID:VlNcnQA80.net
やべーなそろそろFLASH消すわ
.pngファイル表示しないようにするアドオンってないの?
81: リバースパワースラム(チベット自治区)@\(^o^)/ [NL]:2016/12/12(月) 10:23:04.80 ID:0obCnDEN0.net
透明度設定した画像はどのブラウザからでも閲覧できる。chrome だから大丈夫とかの問題ではない。
82: 閃光妖術(福岡県)@\(^o^)/ [CA]:2016/12/12(月) 10:24:54.05 ID:a2ERSJyx0.net
問題は透明度のデータをコードとして実行するアホな実装がされているかどうかだな
85: ジャストフェイスロック(庭)@\(^o^)/ [CA]:2016/12/12(月) 10:32:36.67 ID:8VZkQHUm0.net
常識的には、pngの仕様でスクリプトを埋め込むようには設計されていないと思う。
アルファチャンネル解析部のバグでしょ。

仕様上埋め込めるのなら詳細教えて
86: 急所攻撃(北海道)@\(^o^)/ [US]:2016/12/12(月) 10:34:00.39 ID:HE/nolgP0.net
jsだけではws領域に保存はできても勝手に実行できんよな。
またFlashのカスのせいか。
引用元:http://hayabusa3.2ch.sc/test/read.cgi/news/1481500274
人気サイト更新情報
人気記事ランキング
人気記事ランキングを全て表示する