חברת האבטחה צ'קפוינט התריעה בשבוע שעבר מפני הודעות תמונה המופצות ברשתות החברתיות Facebook  ו-LinkedIn. באותן הודעות מסתתר קוד זדוני בשם LOCKY, שמצפין את הקבצים על המחשב ודורש תשלום כופר של חצי ביטקוין – כ-365$ על מנת לספק מפתח לשחזור המחשב. התמונות עשויות להישלח גם מחשבונות של משתמשים המוכרים לכם, שחשבון הפייסבוק שלהם נפרץ.

לפי חוקרי החברה הישראלית, מפיצי הקוד העדיפו שימוש ברשתות חברתיות, מפני שרכיבי אבטחה בדפדפנים או בתוכנות אנטי-וירוס נוטות לראות בהם אתרים כשרים. הפרסום של צ'קפוינט כעת, נעשה לדבריהם מפני שהקוד עדיין פעיל ומדביק מחשבים מדי יום, בעוד שההודעה ל-Facebook ו-LinkedIn הועברה כבר בתחילת ספטמבר. בחברה יודיעו שיפרסמו את הפרטים הטכניים של אופן ההתקפה החדש, רק לאחר שהפרצות יתוקנו, כדי לא להקנות לתוקפים יתרונות נוספים.

חוקרי האבטחה הכינו סרטון המציג את האופן בו הקוד מדביק את המחשב:

https://www.youtube.com/watch?v=sGlrLFo43pY&feature=youtu.be

בסרטון, מתקבלת ברשת Facebook הודעה פרטית המכילה תמונה. לחיצה על התמונה מורידה את הקובץ למחשב, ולחיצה על הקובץ, כביכול על מנת לצפות בתמונה, מריצה את הקוד הזדוני, ש"נועל" את הקבצים במחשב באמצעות הצפנה חזקה, כולל שיבוש שמות הקבצים.

כדי להימנע מהדבקה חוקרי האבטחה ממליצים על שני צעדי זהירות:

1. אם לחצתם על תמונה והדפדפן מתחיל להוריד קובץ, אל תנסו לפתוח אותו. אתרי מדיה חברתית אמורים להציג את התמונה מבלי להוריד קובץ למחשב.
2. אין לפתוח קובץ תמונה עם סיומת בלתי רגילה (SVG, JS או HTA).

מדוע זה קורה?

הקוד הזדוני LOCKY איננו חדש, והוא מוכר כבר מתחילת השנה, אלא שהגשתו בתוך הודעות תמונה ברשתות הופכות אותו לקשה לגילוי באמצעים המקובלים. הודעות תמונה יכולות להכיל קוד זדוני גם כשהן מוטמעות בתוך קובץ בעל סיומת מקובלת, כאשר הפורמטים הפופולריים ביותר הם JPG ו-PNG. הנטייה שלנו לבטוח בהודעות ברשתות חברתיות, המשותפת גם לתוכנות האנטי-וירוס, גורמת לשיעורי הדבקה גבוהים יותר, לעומת שליחת מיילים נגועים, שאנו חושדים בהם יותר.

איך זה קורה?

גם אם חברת צ'קפוינט נמנעת לעת עתה מפרסום טכניקת הפריצה הספציפית, במרץ השנה הציג חוקר האבטחה ההודי סאומיל שאה, תצוגת תכלית דומה של הטענת קוד זדוני בתוך קובץ תמונה רגיל. ההדגמה היא תולדה של סדרת ניסויים שקיים במשך ארבע שנים. השיטה, המכונה STEGOSPLOIT, מוגדרת על ידי שאה כ"פריצת דפדפן המוגשת בתוך קובץ תמונה". היא לא זקוקה לאתר מוכר כמו Facebook, אלא יכולה לפעול מכל אתר אינטרנט בעולם ולהונות גם סריקות נגד וירוסים שמפעילים בעלי חברות האחסון של האתרים. כשנשאל איך ניתן להתגונן מפניה, העיר שזו איננה השאלה הנכונה, שצריכה בעיניו להיות – מדוע זה בכלל עובד מלכתחילה? שאה הפנה את חיצי האשמה לכל תוכנות הדפדפן הפופולריות – Chrome, Firefox ,Explorer ואחרות. כולן נוטות לשאוב קוד שמגיע מאתר אינטרנט זר ולהריץ אותו על המחשב ממנו אנו גולשים. המשתמשים יכולים לחסום חלקים מתכונה זו באמצעות הגדרות אבטחה בדפדפן או תוספים כגון NOSCRIPT, אבל אז אתרים רבים ברשת, דוגמת Facebook ו-Gmail עלולים לפעול באופן משובש ויש לאשר לכל אחד מהם בנפרד להריץ קוד. זהו תהליך מתיש, שרק משתמשים מעטים, החרדים לאבטחת המחשב, מוכנים לנקוט בו וגם הוא לא מגן מפני התקפות מאתרים שבחרנו להעניק להם הרשאה.

לפי שאה, הבעיה היא שכיום מנסים הדפדפנים להריץ כל קוד שנשלח אליהם, גם אם יש בו חלקים מוזרים ובלתי ניתנים לפיענוח, במגמה להציג לפחות חלק מהמידע באופן הנכון. לדעתו, הפתרון הוא שינוי המבנה הזה מיסודו, כך שהדפדפנים יובנו בצורה חשדנית ויריצו רק קוד שנבחן ונמצא בלתי מזיק. הימצאות נתונים משובשים ליד קוד תקין ישמשו כסימן לפעילות חשודה ויגרמו לחסימת כל התוכן מאותו אתר. התוצאה הצפויה משינוי כזה היא שאתרים רבים הקיימים כיום ומכילים שיבושי תכנות שנעשו בטעות יפסיקו לפעול. שגיאה ברכיב שמופיע באתרים רבים כמו כפתור השיתוף בטוויטר תגרום להפסקת הפעולה של כל האתרים שיש בהם כפתור שכזה. לדעתו של שאה, גישה כזו תאלץ את המתכנתים להקפיד על כתיבה מדוייקת מאוד, שתעניק לכולנו גלישה בטוחה הרבה יותר. "כשמתכנתים תוכנה רגילה וטועים בתחביר אפילו בחלק אחד, המהדר (שמתרגם את שפת התכנות לקוד שניתן להרצה) ייתקע ולא יפיק את קובץ התוכנה. מדוע כשמתכנתים אתרי אינטרנט הדפדפנים מציגים אותם גם כשיש בהם אינסוף שגיאות? ", שאל שאה, אחרי שהציג כיצד אותן 'שגיאות' אפשרו לו ליצור את מנגנון ההסוואה לקוד הסמוי שכתב, אשר בידיים אחרות יכול להוביל לגרימת נזקים חמורים למחשב.

ולפרטים הטכניים

כל וירוס, רוגלה, סוס טרויאני, נוזקה, או כל מושג אחר ממשפחה זו מגיע בסוף לאותה נקודה – המחשב שלנו יריץ קוד מזיק בלא ידיעתנו ולרעתנו. עולם המחשוב מחולק באופן גס לשני סוגי מידע, קוד – הוראות פעולה, ונתונים – שלא מכילים הוראות. תמונות הן סוג מובהק של נתונים, ולכן הן פחות חשודות כמכילות קוד. טקטיקה מקובלת בקרב כותבי וירוסים היא לעטוף את הקוד של הוירוס ב'נייר עטיפה' של נתונים, כדי לעבור את חומות ההגנה, החוסמות הרצה של קוד. גם אם הצליחו בכך, עליהם ליצור מנגנון טריגר מסויים שמסוגל לגרום למחשב 'לעטוף מחדש' את מה שסווג קודם כנתונים, בעטיפה של קוד ולהריץ את הקוד הזדוני על המחשב הנגוע לאחר שעבר את חומות ההגנה. על הטריגר להיראות בלתי חשוד בפני עצמו, אלא רק לשמש כמי שמפעיל באופן אוטומטי את הקוד הזדוני, המאוחסן במקום אחר.

הדפדפן הוא כלי מצוין בעבור חלק מן הנוזקות מפני שהוא מסוגל להריץ פקודות JAVASCRIPT. בשיטה זו ניתן ליצור קוד זדוני קצר ביותר, העשוי לגורם לנזק רב במהירות.

ההיבט המרשים בשיטה שהציג שאה, הוא היכולת ליצור קובץ תמונה רגיל למדי שמכיל בעת ובעונה אחת גם את התמונה עצמה וגם את קוד ה-JAVASCRIPT, שמוטמע בצורה מאוד קשה לגילוי. סריקת הקובץ באמצעות אנטי וירוס תגלה קובץ תמונה רגיל. פתיחת הקובץ באמצעות תוכנת עריכה תציג את התמונה הרגילה, אך בתרחיש ספציפי, בו התמונה הנגועה נשלחת מאתר אינטרנט כלשהו, הדפדפן יתומרן להציג את התמונה תוך כדי שחזור של הקוד הזדוני שמוטמע בתוכה, ויפעיל אותו.

• תמונה נגועה

השלב הראשון בניסוי הוא למצוא דרך לשזור את הקוד הזדוני בתוך התמונה עצמה, כך שסריקת התמונה באמצעות אנטי וירוס לא תגלה אותו. כמעט כל תמונה יכולה לשמש למטרה זו, אפילו של חתולים חמודים במיוחד. שאה שזר את הקוד הזדוני באמצעות שינוי גוונים בתמונה עצמה, שינוי שאינו נקלט בעין אנושית. בתמונה שבחר, הבהירות של כל פיקסל מוגדרת על ידי מילה בגודל 8 סיביות. שאה "החרים" סיבית אחד מכל מילה ויצר שיבוש קל ביותר לבהירות של הפיקסלים בתמונה. במקביל, הוא השתמש בסיבית הזו כמקום אחסון בלתי רציף לקוד הזדוני. בשיטת אחסון זו, העין האנושית לא תבחין בשינויים בתמונה וסריקת האנטי-וירוס לא תזהה סימנים לקוד כלשהו. שיטה זו פשוטה ליישום בתמונות מסוג PNG, המבוססות על שחזור מדוייק של הפיקסלים. קובצי JPG מבוססים על טכניקות מיזוג בין פיקסלים שכנים, כדי להקטין את גודל הקובץ הסופי. מיזוג זה בהכרח מביא לאבדן חלק מהמידע ומשבש גם את הקוד הזדוני. כאן נעזר שאה בגישה שנקראת קידוד איטרטיבי. כלומר, את הקוד שנשזר ושובש הוא ישזור פעם נוספת וכך מספר השיבושים יפחת. בכל מחזור שזירה נוסף, הפיקסלים הנגועים יהפכו ליותר דומיננטיים, אך לא ישפיעו באופן משמעותי על מראה התמונה בעין האנושית. לאחר כ-10 הרצות חוזרות, הקוד הזדוני אמור להיות בר שחזור ללא שיבושים גם בפורמט JPG.

• מנגנון ההטעיה

כדי ליצור מנגנון הפעלה סמוי, שאה הצליח ליצור קובץ תמונה מסוג JPG, שהוא בעת ובעונה אחת גם קובץ קוד מסוג HTML. פורמט JPG קיים כבר מספר עשורים בעולם המחשבים משום שיש בתוכו גמישות מסויימת שאפשרה לו להתאים את עצמו לשינויים בעולם המחשוב, אך ניתן גם לנצלה לרעה. ניתן להעמיס בתוכו נתונים נוספים, שמציגי תמונות יתעלמו מהם ויציגו את התמונה כרגיל. פורמט HTML, בו משתמשים דפדפנים הוא פורמט שיכול להכיל קוד, אך כאשר הדפדפנים מנסים לפענח קובץ HTML משובש, הם אינם חודלים ממשימתם, אלא מדלגים קדימה עד שהם מוצאים חלק בלתי משובש ומריצים את הקוד הרשום בו. קבצים כאלו, שניתן לפענחם באמצעות שני סטנדרטים שונים במקביל, הם המצאה חדשה יחסית, ונקראית פוליגלוטים.

• מנגנון ההפעלה

מכיוון שבשיטה זו הקוד יכול לפגוע במחשב רק באמצעות דפדפןצורק באמצעות פיענוח קוד בתוך הדפדפן, השיטה האופטימלית להפיץ את הוירוס היא באמצעות אתר אינטרנט מרוחק. כאשר השרת המאסן את האתר מריץ תוכנת אנטי-וירוס, הוא יזהה קובץ תמונה תקין ולא חשוד. כאשר נגלוש לאתר מהמחשב הביתי, עמוד הבית של האתר יצרף לקובץ ה-JPG תווית שנקראת "Content-Type: text/html". כך, ברגע האמת, התווית תגרום לדפדפן לטפל בקובץ באמצעות פיענוח קוד המסוכן, ולא באמצעות פיענוח תמונה. התווית – שהיא מנגנון הסיווג – איננה חלק מהקובץ הנגוע, אלא מופיעה בתוך קובץ אחר וכך חומקת מגילוי.

לקוד המפעיל ישנם מספר חלקים:

• הצגת התמונה באופן רגיל כדי להסיר חשד.
• קריאת נתוני הבהירות בתמונה כדי לשחזר מתוכם את הקוד הזדוני שנשזר בתוכם.
• הרצת הקוד הזדוני.

גם כאן תוכנת אנטי-וירוס תיכשל בזיהוי האיום שכן הקוד לא פונה ישירות לחלקים רגישים במחשב בעצמו, אלא מבצע פעולות חישוב על נתוני בהירות התמונה – פעולה לא חשודה, ומבצע פקודת הרצה לקוד שעדיין איננו קיים ולא ניתן לסרוק אותו. הקוד הזדוני לעולם לא יישמר על המחשב בצורה גלויה ויהיה קשה מאוד לתפוס אותו "בשעת מעשה", ולכן גם קשה מאוד לבנות תוכנה שמנטרלת את הנזק שנגרם ממנו.

להסבר מנגנון ההפעלה: http://hackaday.com/2015/11/06/stegosploit-owned-by-a-jpg/