Malware ukryte w zwykłym tekście

Zespół amerykańskich specjalistów ds. bezpieczeństwa opracowało metodę ukrywania złośliwego kodu w tekście przypominającym zwykły anglojęzyczny spam.

Ich praca jest swego rodzaju przełomowym odkryciem, gdyż stosowane do tej pory technologie zabezpieczania sieci bazują na założeniach zakładających, iż złośliwy kod stosowany do wstrzykiwania przez cyberprzestępców charakteryzuje się inną strukturą, aniżeli zwykły, niewykonywalny tekst (np. anglojęzyczna proza).

Członek zespołu, dr Jose mason z John Hopkins University w Baltimore, ujawnił, że celem grupy było poszerzenie metody pojmowania mechanizmów umieszczania złośliwego kodu, aby w ten sposób opracować wydajniejsze techniki obrony przed atakami.

Ukrycie kodu w tekście pisanym jest „trudne, jeśli w ogólne niemożliwe do wykrycia” – tłumaczy inny członek grupy, dr Nicolas T Courtois.

W wyniku badań stworzono koncept kodu, który wg. Specjalistów może być stworzony przez hakera swobodnie operującego językiem angielskim.

Praca naukowców zostala przedstawiona podczas konferencji ACM Conference on Computer and Communications Security w Chicago nosi tytuł English Shellcode. Shellcode to anglojęzyczny zlepek słów shell (powłoka) oraz code (kod) oznaczający prosty, niskopoziomowy program prezentowany najczęściej w postaci kodu maszynowego, odpowiedzialny za wywołanie powłoki systemowej. Dostarczany jest on zwykle wraz z innymi danymi wejściowymi użytkownika (zazwyczaj poprzedza go obszar instrukcji NOP, zaś za nim znajduje się przybliżony adres shellcodu w pamięci). Na skutek wykorzystania luki w atakowanej aplikacji, procesor rozpoczyna wykonywanie shellcode, pozwalając na uzyskanie nieautoryzowanego dostępu do systemu komputerowego lub eskalację uprawnień.

Poniżej prezentujemy automatycznie wygenerowany anglojęzyczny tekst – wytłuszczono w nim ukryte instrukcje.

“There is a major center of economic activity, such as Star Trek, including The Ed Sullivan Show. The former Soviet Union. International organization participation”

źródło: itweek.co.uk, Wikipedia