Twitter图片可能被滥用来隐藏ZIP

ter确实会对图片进行压缩，但也有一些情况下不会。它也会剥离任何非必要的元数据，所以任何现有的图像隐写技术都不会奏效。但我发现的新技巧，就是你可以将数据追加到'DEFLATE'流(文件中存储压缩像素数据的部分)的末尾，而Twitter不会将其剥离。”Buchanan在邮件采访中告诉媒体。

匿名攻击者经常利用隐写技术，将恶意命令、有效载荷和其他内容隐藏在图像等看似普通的文件中。

前几日，媒体还报道了一种新型渗透技术，网络犯罪分子利用这种技术将被盗的信用卡数据隐藏在JPG图片中。

正如Buchanan所说，Twitter可能并不总是将无关信息从图片中剥离出来，这一事实可能导致攻击者滥用该功能。

Buchanan认为他的PNG图像概念验证技术本身可能并不是特别有用，因为还有更多的隐蔽方法是可行的。“我不认为这种技术对攻击者特别有用，因为更多传统的图像隐写技术更容易实现(甚至更隐蔽)。"

然而，更有可能的是，研究人员展示的PNG技术可能被恶意软件用于C2活动。

"它可以作为C2系统的一部分，用于向受感染的主机分发恶意文件，"Buchanan表示，由于Twitter可能被网络监控系统认为是一个安全的主机，因此利用这种图像文件通过Twitter传播恶意软件仍然是绕过安全程序的可行方法。

Buchanan向推特反应了该漏洞，“我向Twitter的bug赏金计

（编辑：吉安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!