Twitter图片可能被滥用来隐藏ZIP、MP3文件 – 作者:yannichen

如果你下载了一张图片，却发现大小有好几MB，那你要警惕了，图片可能藏着压缩文件和Mp3文件。

3月17日，研究人员披露了一种在Twitter图像中隐藏多达3 MB数据的方法。

尽管将非图像数据隐藏在图像中的技术（图像隐写技术）并不新鲜，但不经排查就将图像托管在Twitter之类的主流社交网站上，给了恶意行为者滥用该技术的空间。

在演示中，David Buchanan展示了Twitter上托管的PNG图像中包含的MP3音频文件和ZIP压缩文件。

下载Twitter上的图片后，仅需改变文件扩展名就可以获得隐藏内容，如下图所示，该图片中包含一个ZIP文档。

David Buchanan展示了Twitter上托管的PNG图像中包含ZIP压缩文件

据媒体表示，该ZIP文档中包含源代码，可以生成所谓的tweetable-polyglot-png。Buchanan还在Github上提供了该技术的源代码。

在另一个上传到Twitter上的例子中， Buchanan在推特上发布了一张隐藏MP3文件的图片。

“下载这个图片，重命名为.mp3，在VLC中打开，会有惊喜。”Buchanan表示。

打开后，变成MP3的图片文件就会开始播放Rick Astley的《Never Gonna Give You Up》。

来源：Bleeping Computering

“Twitter确实会对图片进行压缩，但也有一些情况下不会。它也会剥离任何非必要的元数据，所以任何现有的图像隐写技术都不会奏效。但我发现的新技巧，就是你可以将数据追加到’DEFLATE’流(文件中存储压缩像素数据的部分)的末尾，而Twitter不会将其剥离。”Buchanan在邮件采访中告诉媒体。

匿名攻击者经常利用隐写技术，将恶意命令、有效载荷和其他内容隐藏在图像等看似普通的文件中。

前几日，媒体还报道了一种新型渗透技术，网络犯罪分子利用这种技术将被盗的信用卡数据隐藏在JPG图片中。

正如Buchanan所说，Twitter可能并不总是将无关信息从图片中剥离出来，这一事实可能导致攻击者滥用该功能。

Buchanan认为他的PNG图像概念验证技术本身可能并不是特别有用，因为还有更多的隐蔽方法是可行的。“我不认为这种技术对攻击者特别有用，因为更多传统的图像隐写技术更容易实现（甚至更隐蔽）。”

然而，更有可能的是，研究人员展示的PNG技术可能被恶意软件用于C2活动。

“它可以作为C2系统的一部分，用于向受感染的主机分发恶意文件，”Buchanan表示，由于Twitter可能被网络监控系统认为是一个安全的主机，因此利用这种图像文件通过Twitter传播恶意软件仍然是绕过安全程序的可行方法。

Buchanan向推特反应了该漏洞，“我向Twitter的bug赏金计划报告，但他们说这不是一个安全bug。”

来源：freebuf.com 2021-03-18 15:05:25 by: yannichen