Les images de Twitter peuvent cacher des fichiers Zip et Mp3

0

Un chercheur a révélé une méthode qui permet de cacher jusqu’à 3 Mo de données à l’intérieur d’une image sur Twitter.

Dans sa démonstration, le chercheur a montré à la fois des fichiers audio MP3 et des archives ZIP contenues dans des images PNG hébergées sur Twitter.

Bien que l’art de cacher des données non-image dans les images (stéganographie) n’est pas nouveau, le fait que les images peuvent être hébergées sur un site web populaire comme Twitter et ne sont pas assainis ouvre la possibilité de leur abus par des acteurs malveillants.

Une image qui chante

Le chercheur et programmeur David Buchanan a joint des images d’exemple à ses tweets qui avaient des données telles que des archives ZIP entières et des fichiers MP3 cachés à l’intérieur.

Bien que les fichiers PNG ci-joints hébergés sur Twitter représentent des images valides lors de la prévisualisation, le simple téléchargement et la modification de leur extension de fichier a été suffisant pour obtenir du contenu différent de la part du même fichier.

twitter

Comme observé, l’image de 6 Ko tweetée par le chercheur contient une archive ZIP entière.

Le ZIP contient le code source de Buchanan que n’importe qui peut utiliser pour emballer des contenus divers dans une image PNG.

twitter

Pour ceux qui préfèrent une approche un peu moins pratique, le chercheur a également fourni du code source pour générer ce qu’il appelle des fichiers tweetable-polyglot-png sur GitHub.

Dans un autre exemple téléchargé sur Twitter, Buchanan a tweeté une image qui pourrait chanter.

« Téléchargez celui-ci, renommez le en .mp3, et ouvrez avec VLC pour une surprise. (Note: assurez-vous de télécharger la version pleine résolution du fichier, devrait être 2048x2048px), a déclaré le chercheur.

L’image située sur le serveur d’images de Twitter ci-dessous est d’environ 2,5 Mo de taille et peut être sauvegardée avec une extension «.mp3 ».

https://pbs.twimg.com/media/Ewo_O6zWUAAWizr?format=png&name=large

Une fois ouvert, le fichier d’image, maintenant transformé en MP3, commencerait à jouer la chanson Never Going to Give You Up de Rick Astley.

« Twitter compresse les images, la plupart du temps, mais il y a des scénarios où il ne le fait pas. »

« Twitter tente également de supprimer les métadonnées non essentielles, de sorte que toutes les techniques existantes de “fichier polyglotte” ne fonctionneraient pas. »

« Le nouveau truc que j’ai découvert, c’est que vous pouvez annexer les données à la fin du flux “DEFLATE” (la partie du fichier qui stocke les données pixel compressées), et Twitter ne les supprimera pas, » a déclaré Buchanan dans une interview.

Ouvert aux abus par des individus malveillants

Les techniques de stéganographie sont souvent exploitées par des individus malveillants car elles leur permettent de cacher des commandes malveillantes, une charge utile et d’autres contenus dans des fichiers qui ont l’air ordinaire, tels que des images.

Le fait que Twitter ne puisse pas toujours supprimer les informations supplémentaires d’une image, comme l’a démontré Buchanan, provoque la possibilité d’abus de la plate-forme par les individus malveillants.

En outre, ce qui pose un défi supplémentaire est que le blocage du trafic d’images de Twitter peut avoir un impact sur les opérations légitimes.

Par exemple, un administrateur de réseau bloquant le domaine d’image de Twitter pbs.twimg.com pourrait également bloquer les images légitimes hébergées sur Twitter.

Cela étant dit, Buchanan croit que la technique de sa preuve de concept d’image PNG peut ne pas être particulièrement utile en soi car d’autres méthodes de stéganographie sont viables.

« Je ne pense pas que cette technique soit particulièrement utile pour les pirates informatiques, parce que les techniques plus traditionnelles de stéganographie de l’image sont plus faciles à mettre en œuvre (et encore plus furtives). »

Cependant, la technique PNG démontrée par le chercheur pourrait être utilisée par les logiciels malveillants pour faciliter ses activités de commande et de contrôle(C2).

« Mais peut-être qu’il pourrait être utilisé dans le cadre d’un système C2, pour la distribution de fichiers malveillants aux hôtes infectés, » a ajouté Buchanan.

Parce que Twitter peut être considéré comme un hôte sûr par les systèmes de surveillance du réseau, la distribution de logiciels malveillants via Twitter en utilisant ces fichiers d’image reste une méthode viable pour contourner les programmes de sécurité.

Lorsqu’ils lui ont demandé si Twitter était au courant de ce bug, le chercheur a répondu:

« J’ai signalé ma technique initiale basé sur JPEG au programme bug bounty de twitter, mais ils ont dit que ce n’était pas un bug de sécurité, donc je n’ai pas pris la peine de leur signaler celui-ci. »

Dans sa technique de 2018, Buchanan avait tweeté une minuscule vignette JPG qui contenait l’énorme collection des Œuvres complètes de William Shakespeare.

shakespeare

Dans le passé, les pirates informatiques ont abusé de services légitimes comme Imgur pour héberger leurs images qui ont ensuite été utilisées pour propager la charge utile malveillante Cobalt Strike.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.