Infekowanie wirusem urządzeń za pomocą emotikonów (emoji).

Według badaczy cyberbezpieczeństwa, w niedalekiej przyszłości hakerzy mogą nas oszukiwać, wysyłając do komputera lub telefonu komórkowego losowy ciąg emotikonów (z ang. emoji).

Chyba nic już nas w świecie cybersecurity nie zaskoczy. Wcześniej na Kapitanie pisaliśmy o infekowaniu komputera za pomocą aplikacji na Windows- notatnik oraz wielu innych „egzotycznych” i ciekawych przypadkach, którym poświęciliśmy osobną kampanię. Tym razem badacze cyberbezpieczeństwa stwierdzili, że opracowali sposób na atak za pomocą emotikonów. Opisujemy go poniżej.

Tydzień temu, podczas przemówienia na DEF CON w Las Vegas badacze bezpieczeństwa Hadrien Barral i Georges-Axel Jaloyan powiedzieli, że znaleźli sposób na użycie serii emotikonów w celu dostarczenia exploita do zainfekowania docelowego urządzenia. Zastrzeżenie jedynie jest takie, że musi zaistnieć konkretna okoliczność, której wystąpienie spowoduje, że exploit emoji zadziała.

Autor: Kapitan Hack Data dodania: 19 sie 2022 10:19 4 min czytania

Jak exploit z emoji działa w praktyce?

Należy pamiętać, że hakerzy często tworzą exploity, gdy wykryją problem z urządzeniem docelowym. Exploit zawiera zazwyczaj ciągi liter i symboli, tak jak w przypadku każdego innego rodzaju kodu.

Badacze Barral i Jaloyan, w wiadomości email wysłanej do portalu Motherboar, napisali, że „scenariusz z prawdziwego życia jest nieco naciągany. Mówiąc bardzo prosto: powiedzmy, że znalazłeś lukę w zabezpieczeniach, ale zanim dostaniesz się do wrażliwej części, dane wejściowe hakera muszą przejść przez filtr emoji. Następnie, aby wykorzystać tę lukę, haker potrzebuje danych wejściowych zawierających tylko emotikony, czyli shellcode (specjalny kod) tylko do emotikonów”
Ów „specjalny kod” daje hakerom „powłokę”, którą mogą używać do wysyłania poleceń do zhakowanego urządzenia.

Wspomniana metoda ataku może być bardzo skuteczna, zważywszy na to, że w obecnym czasie prawdopodobieństwo, że ktoś posiada filtr na emoji jest bardzo niskie

Jayolan wyjaśnił, że wysyłając exploita do docelowego urządzenia, musi on najpierw przejść przez filtr — na przykład, jeśli haker wysyła swój ładunek za pomocą formularza, który akceptuje tylko litery i cyfry, ładunek powinien składać się z liter i cyfr. Tak więc, aby atak emoji zadziałał, musi przejść przez filtr, który akceptuje tylko emoji, o którym badacz powiedział, że w tym momencie nie istnieje!

Poniżej wymieniamy przykładowe shellcode służące do kodowania emotikon:

QEMU bare-metal shellcodes
Espressif ESP32-C3 shellcodes
HiFive Unleashed Linux shellcodes

Przetwarzanie emotikonów może być trudne w przypadku niektórych programów. Nie oznacza to, że emoji można wykorzystać do zhakowania oprogramowania. Fakt, że nie wszystkie komputery i programy obsługują emotikony, wskazuje, że są one na tyle niezbadane i nowatorskie, że wymagają dostosowania do użycia.

Podsumowanie

Świat cyber-zagrożeń zmienia się bardzo dynamicznie. Powyższy przykład pokazuje, że każdy kod może zostać wykorzystany do nieodpowiednich celów.
Warto edukować zarówno zespoły atakujących (RedTeam), jak i obrońców (BlueTeam), pokazując im co jest możliwe. Co nowego powinno skłonić ich do zmiany zachowania.
Zalecamy dokładne przestudiowanie obecnego modelu zagrożeń w firmach, jego poprawę i dostosowanie do obecnych realiów. Nawet najlepsze i najdroższe systemy mogą nas nie ochronić przed takim trywialnym typem ataku, jeśli nie będziemy w stanie się ciągle doskonalić i dostosowywać.

Szczegóły techniczne na temat badania oraz przykład exploit’a składającego się wyłącznie z emotikonów badacze opublikowali na GitHub tutaj.