Les virus dans les images

Quelques informations ci et là concernant les virus et les images.
Est-il possible de se faire infecter avec une image ?
Quels sont les risques en matière de sécurité informatique ?

La question avait été déjà posée sur la forum, dont voici le lien : Des images peuvent-elles réellement contenir un virus ?
Voici quelques détails.

virus-informatique-spyware-malware

Les virus dans les images

Introduction

Dans cette page, nous verrons donc comment les images peuvent être porteuses de virus ou liés à ces derniers.
Nous verrons surtout :

  • les vulnérabilités liées aux visionneuses d’images ou les librairies d’images.
  • la stéganographie où comment dissimuler des données dans des images.
  • Une autre méthode liée aux infections autour de l’utilisation d’images (ou pas)

Les vulnérabilités

Plusieurs formats (png, gif, jpeg, tiff etc) existent et peuvent être lues par des logiciels : MSPaint, visionneuse d’images de Windows etc.
Comme tout logiciel, il peut arriver que des faiblesses et vulnérabilités soient découvertes.
Cela peut-être sur un logiciel d’images en particulier, sur le format d’images en lui même.
A partir de là, l’exploitation de ces vulnérabilités est possible pour éventuellement exécuter un code sur l’ordinateur et permettre donc d’infecter Windows.

Historiquement, cela est déjà arrivé par le passé… parmi les plus importantes on trouve notamment.

2005 – WMF

Fin 2005 CVE-2005-4560 et MS 912840, une vulnérabilité sur le format WMF (Windows Metafile graphics standard) qui a permis l’exécution de code.
Cette vulnérabilité a été exploitée par des campagnes d’emails malicieux mais aussi des Web Exploit.

Ci-dessous, un exemple de Web Exploit sur un site de crack, on peut voir le fichier .wmf sur la visionneuse d’images de Windows.
virus_images_vulnerabilite_wmf_exploitation

et les binaires qui sont exécutés sur l’ordinateur.
Il s’agit bien entendu de Trojan et autres logiciels malveillants.virus_images_vulnerabilite_wmf_exploitation_2

et côté, email malicieux, soit des liens malicieux afin de charger l’image depuis un lien :

wmfhny_mail_malicieux

soit directement une image WMF en pièce jointe.
Le mail contient une image hot, histoire de donner envie d’ouvrir l’image malicieuse en pièce jointe.

wmfhny_mail_malicieux_2

sources :

vulnérabilités TIFF

TIFF est un vieux format d’image (1980), il existe de multiples librairies TIFF, même en dehors de Windows et notamment pour Mac ou Linux.

2010 – Libtiff et PDF

Une vulnérabilité CVE-2010-0188 visant Adobe Reader et permettant d’infecter des ordinateurs à partir de PDF contenant un exploit au format TIFF.
Cette vulnérabilité a été très utilisée par des Web Exploit : Exploitation SWF/PDF et Java – système non à jour = danger

En clair donc, vous visitez un site avec Adobe Reader en plugin,
Le site redirige vers un Web Exploit qui charge un PDF malicieux contenant l’image TIFF qui permet d’exploiter la vulnérabilité et exécuter le malware/virus.

virus_image_tiff_pdf_exploit

source : http://sketchymoose.blogspot.fr/2012/06/tiff-buffer-overflow-in-pdf.html

2013 – Tiff et Microsoft Office

Une vulnérabilité sur la librairie TIFF de Microsoft a été publiée fin 2013 : CVE-2013-3906
Cette librairie TIFF Microsoft est en autre utilisée par Microsoft Office.
Cette exploitation a donc été utilisée à travers des documents Office et notamment Word contenant des images TIFF créés à cet effet.

Vous avez un exemple de campagne sur la page suivante : THE DUAL USE EXPLOIT: CVE-2013-3906 USED IN BOTH TARGETED ATTACKS AND CRIMEWARE CAMPAIGNS

virus_images_vulnerabilite_tiff

Le Trojan Zbot a aussi été poussé par des campagnes d’emails Word malicieux.
Mars 2014 : RTF Attack Takes Advantage of Multiple Exploits

Comme expliqué précédemment, il existe de multiples librairies TIFF.
Ces autres librairies peuvent avoir des vulnérabilités.
Ci-dessous, deux exemples, la première concerne Apple et les Mac.
La seconde concerne le logiciel Spotlight.

stéganographie

La stéganographie est utilisée, de plus en plus, par les cybercriminels pour dissimuler et stocker des informations.
Une image étant composé de pixels qui eux mêmes sont composés de bits, il s’agit d’insérer des données à chaque bit.
L’image sera altérée mais cela peut-être invisible à l’oeil humain.
Le malware/virus pourra télécharger l’image, récupérer ses données pour les lire.

ZeusVM

La première utilisation à grande échelle fut par le Trojan ZeusVM.
Une fois le Trojan actif sur l’ordinateur, ce dernier va télécharger le fichier de configuration, contenant les banques à attaquer (formulaires etc).
Initialement, le fichier était de configuration était nu, directement lisible et en ligne. Les antivirus pouvaient donc détecter ce dernier, ce qui pouvait bloquer le fonctionnement du Trojan Zeus.
Le but ici, est donc de dissimuler le fichier de configuration dans une image.
Les antivirus n’y verront que du feu.

virus_images_stenographie

sources :

Stegano Exploit Kit

Steagano Exploit Kit est donc un Web Exploit Kit qui utilise la stéganographie.
Les premières décourtes sont courant Octobre 2015.
C’est le premier ExploitKit de ce genre.

Déjà évoqué sur cette page Publicités malveillantes (malvertising) en fortes expansions, ce Kit est diffusé essentielle par des campagnes de publicités malicieuses (malvertising) dites « AdGholas malvertising campaign ».
C’est la bannière publicitaire qui utilise la stéganographie, comprenant un JavaScript avec une iframe redirigeant vers un tinyurl ou autre URL courte comme goo.gl pour charger ensuite le Steagano Exploit Kit.
Dans le cas observé, un Exploit Flash est utilisé qui charge un fichier GIF qui contient le malware/virus.

Un exemple d’infection par Steagano Exploit Kit (source ESET)

virus_images_stegano_exploit_kit

sources :

Autre cas d’image malicieuse

Autres cas d’image malicieuse qui, en fait, ne sont pas des images… mais se font passer pour.
Des techniques utilisées depuis des années et des années, pour faire ouvrir des fichiers malicieux.
Le principe est simple, déguisé un exécutable en image, pour cela..

  • On place l’image avec une double extension .jpg.exe – comme Windows masque les extensions, vous ne verrez que .jpg
  • Puis on force l’icône de l’exécutable avec une icône image pour que l’utilisateur croit vraiment avoir affaire à une image.

On place, l’image dans un fichier archive .zip, .rar etc. ou un message automatique est envoyé « regarde cette photo ».

Ces techniques sont utilisées sur les campagnes de mails malicieux ou par le passé par les virus MSN qui peuvent être encore actifs sur Skype ou Facebook.

Conclusion

L’utilisation d’image directement malicieuse est plutôt rare.

En général, il s’agit d’exécutable se faisant passer pour une image.

Les vulnérabilités permettent toutefois de pouvoir utiliser les images comme vecteur de diffusion de virus/malwares, mais notez que ces images sont la plupart du temps embarqué dans d’autres formats de fichiers (Fichier Office, PDF etc).
On retrouve ensuite les vecteurs habituels : mails malicieux et Web Exploit.
Pour ce dernier, je vous renvoie au conseil habituel pour se protéger contre les vulnérabilités, à savoir maintenir Windows et vos logiciels à jour : Logiciels pour maintenir ses programmes à jour

laptop and sign virus (done in 3d)

(Visité 1 980 fois, 17 visites ce jour)