هکرها میتوانند با یک عکس، وبسایتها را هک کنند!
گروهی از هکرها در آمریکای لاتین، از آپلود عکس برای حمله به سایتهای تجاری استفاده میکنند. این روش مبتنی بر استگانوگرافی است و کد مخرب را در سرایند فایلهای تصویری پنهان میکند. تیم پژوهشی Trustwave این حمله را کشف کرده است.
گروهی از هکرها در آمریکای لاتین، از آپلود عکس برای حمله به سایتهای تجاری استفاده میکنند. این روش مبتنی بر استگانوگرافی است و کد مخرب را در سرایند فایلهای تصویری پنهان میکند. تیم پژوهشی Trustwave این حمله را کشف کرده است. |
پنهان کردن بدافزار در فایلهای تصویری روش شناخته شدهای است. بسیاری از فیلترها بدون بررسی چندانی به فایلهای تصویری اجازه عبور میدهند. اما نقطه قوت روش مورد استفاده اخیر این است که میتواند حتی وبسایتهای کاملا وصله شده و ظاهرا آسیبناپذیر را تنها با آپلود یک عکس آلوده کند. |
به قول کارل سیگلر (Karl Sigler)، محقق امنیتی Trustwave «زبان PHP دارای تابعی [به نام exif_read_data] است که با آن میتوان اطلاعات EXIF یک فایل تصویری را خواند و تجزیه کرد. بنابراین اگر وبسایتی را بیابید که از PHP استفاده میکند و به کاربران اجازه بارگذاری عکس میدهد، میتوانید هر بدافزاری را که میخواهید آپلود کنید». |
EXIF نوعی استاندارد است که امکان ذخیره اطلاعاتی مثل زمان تصویربرداری، رزولوشن، اسم و حجم فایل و… را فراهم میکند. معمولا دوربینها چنین اطلاعاتی را به همراه عکس ذخیره میکنند. PHP تابعی برای خواندن EXIF دارد. چنین اطلاعاتی میتواند به عنوان مثال برای کمک به مخاطبان نابینای وبسایتها مفید باشد. این تابع در ابزارهای طراحی سایت و افزونهها آماده بسیاری به کار رفته است. برای پیدا کردن سایتی با چنین ویژگیای، مهارت فنی متوسط کفایت میکند. برای جاسازی بدافزار در فایل نیز ابزارهای آماده و رایگان، به وفور در اینترنت یافت میشوند. |
این روش حمله چندان رایج نیست. آخرین بار در سال 2013 نمونههایی از آن مشاهده شده بودند. اما این کارزار جدید یک پله از کارزارهای قبلی بالاتر است. در این مورد، مهاجمان کل بدافزار را در فایل قرار نمیدهند، بلکه بدافزار را روی سرور خود بارگذاری میکنند و در فایل تصویری، تنها کد کوچکی برای دانلود بدافزار قرار میدهند. بدنی ترتیب، فایل تصویری چندان بزرگ نمیشود و کمتر جلب توجه میکند. |
طبق مشاهدات Trustwave این حمله بیشتر سایتهای تجارت الکترونیکی در آمریکای لاتین را هدف قرار داده است. چنین تلاشی از جانب هکرها قابل توجیه است، زیرا بازار فروش اطلاعات کارتهای بانکی بسیار داغ است. در این بازار، حجم اطلاعاتی که از طریق تراکنشهای اینترنتی سرقت شدهاند، حتی بیشتر از اطلاعاتی است که به وسیله اسکیمرهای فیزیکی دزدیده شدهاند. |
به منظور در امان ماندن از چنین حملاتی بهتر است دارندگان وبسایت، فایلهای تصویری را به دنبال تگهای PHP اسکن کنند. حتی در صورتی که ضرورت ندارد، امکان آپلود فایل را به بازدیدکنندگان ندهید. اقدام دیگری که میتوانید انجام دهید این است که فایلهای تصویری را در لیست سفید قرار ندهید. همچنین اگر متوجه شدید که یک فایل PHP بدون اجازه روی وبسایت شما آپلود شده است، باید احتمال چنین حملهای را بدهید. |
منبع: Threatpost
|