駭客將惡意腳本寫入圖片元資料中,並交由Google伺服器託管

惡意程式碼被圖片原本的功能掩護,安全程序也不會針對圖片元資料進行掃描,資安公司Sucuri還提到,沒有適當的方法向Google檢舉有問題的圖片,這些多是提高惡意圖片存活時間的原因。

資安公司Sucuri揭露,他們發現了一張Pac-Man.jpg圖像中的EXIF資料存在惡意軟體,而這張圖片被託管在Google的伺服器上,Sucuri提到,過去他們也看過類似的手法,但是惡意軟體通常被存在Pastebin和GitHub這類文字型的託管服務上,而要發現文字檔案中的惡意程式碼是比較容易的,圖片中的惡意意圖受到良好的掩護,除非特別檢查元資料,否則難以發現。

Sucuri找到了一個偷取PayPal安全權杖的惡意腳本,這個腳本讀取了一張託管在Google伺服器圖片的EXIF資料,這張Pac-Man的圖片來源不明,可能是駭客以Google帳戶上傳。惡意程式碼隱藏在圖片的UserComment部分,這串資料以Base64編碼,經過解碼後,Sucuri認為這些是一個腳本,可以用來上傳預先定義的Web shell、任意檔案、置換網站頁面,並且透過電子郵件寄送被攻擊成功的網站位置給駭客。

Sucuri提到,在過去的案例,利用圖片的EXIF資料來隱藏惡意軟體,很少會被安全程序掃描,因此駭客們通常都會瞄準那些可靠且受信任的伺服器,在上面託管這些惡意腳本來源,以便可以長久地從任何受駭網站下載這些腳本。之前的例子通常都是在Pastebin和GitHub上被發現,不過文字文件反而容易被發現。

圖片是很好的惡意程式碼載體,由於這些圖片本身就是真實的圖片,惡意程式碼被圖片原本的功能掩護,除非特別去檢視這些圖片的元資料,並且以特定方式解碼,否則完全無法發現其中隱藏了惡意意圖,另外,Sucuri表示,要將googleusercontent.com上有問題的內容,回報給Google非常困難,雖然Google有許多工具可以刪除內容,但是卻沒有一個適當的方法,可以回報圖片中有問題的元資料,多數他們的工具都是要求侵權內容的原始貼文連結、頁面或是評論等。

上述這個Pac-Man圖片並非一個公開的內容,也無法得知是哪一個用戶建立的,也無從得知駭客透過Google的哪一個服務,將這個惡意圖片上傳到googleusercontent.com上,Sucuri認為在Google伺服器上有惡意程式碼的圖片,可能會比Pastebin等類似服務上的文字檔案存活得更久。

 

資料來源:駭客將惡意腳本寫入圖片元資料中,並交由Google伺服器託管