一张图片黑掉你：在图片中嵌入恶意程序

印度Net-Square公司CEO、网络安全专家Saumil Shah最近发现了一种攻击方式：攻击者可以把恶意程序写到一张普通的图片文件里，人们只要打开看一眼这张看似普通的图片，电脑就会被黑。

技术原理

Saumil Shah把这种隐藏恶意程序命名为Stegosploit。那么这个程序的原理是什么呢？

该BUG来源于是一种Steganography技术，这种技术可以把信息隐藏到图片中，Saumil Shah利用这种概念，把代码写进图片像素，然后通过html5的可递交脚本的动态Canvas元素还原。

这个恶意代码本质是图片的代码和Javascript脚本的混合，被称之为IMAJS。黑客可以把代码写进JPG或者PNG格式的图片中，除非把图片放大仔细查看，否者一般情况下，肉眼很难发现图片有问题。

黑客在图片中写了恶意程序，这个程序可以设计很多功能，比如下载和安装间谍软件等。然后把图片上传到网上，并把地址告诉你，当你在浏览器中查看这张图片的时候，恶意程序就会被触发，你的电脑就有可能被黑。

也就是说，如果这个漏洞被利用，那么在以后的日子里，图片文件对我们来说已经不可信任了。

不过这种代码也不是百分百能让你中招，他只能作用于一些安全性较弱的浏览器或网站，并且这种带有恶意程序的图片不会出现在社交网站上，因为像Facebook等大社交网站，在上传图片的时候网站都会对其进行检测，如有问题，则不能上传。

5月28日，在2015 HITBSecConf 大会上Saumil Shah为大家演示了如何在图片中嵌入恶意程序并攻击个人电脑的方法，目前看来这只是一个漏洞，应该很快就会被修复。

漏洞利用工具

来自freebuf的消息，作者在twitter上表示目前利用工具正在开发中，后面会公布。FreeBuf将保持关注。

一些疑问

FreeBuf小编@Linvex：

有人并不认为这是一个Exploit。从文中来看，攻击者需要把图片放在<script>标签里面才能执行——这个漏洞早在13年就有人提过了，poc也早就有了，可以直接利用二进制写入js到bmp中，然后浏览器执行。译文可参考FreeBuf专栏作者@碳基体 mm 的文章（传送门）

不过当时要求是BMP，如果本文使用的技术是放在img标签还能执行js或者shellcode就有意思了。

视频演示

<iframe src="http://v.qq.com/iframe/player.html?vid=x0155tu4e4n&amp;tiny=0&amp;auto=0" width="550" height="450" frameborder="0" allowfullscreen="allowfullscreen"></iframe>

相关阅读

《恶意PNG：隐藏在图片中的“恶魔”》

安全研究人员发现，最新的Graftor木马变种可以将恶意DLL文件内嵌到PNG图片中，然后以图片为载体隐藏并将恶意DLL下载到目标系统上，并能够躲避杀毒软件的检测。针对本文中的样本，恶意内容被嵌入在了真实PNG图片数据的末尾。点我查看原文

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/