пятница, 1 февраля 2013 г.

Вести с полей. Свежая программа для выявления стеганографии

стеганография программы
На конференции Black Hat, проходившей в Барселоне (Испания) была продемонстрирована уязвимость, которая позволяет встроить код червя Conficker в архивные файлы RAR и ZIP, не вызывая подозрения у антивирусов. Также на конференции было рассказано о способе встраивания в архивные файлы стеганографических данных.
Было заявлено о выпуске бесплатной утилиты NyxEngine, предназначенной для обнаружения вредоносного кода или скрытой информации в упакованных файлах, работающей по Windows. Утилита представляет собой консольное приложение для выявления встроенных данных, также скачавшему предоставляется библиотека с открытым API и примеры его использования.

Перевод интересных мест из аннотации выступления на конференции

Чтобы обнаружить скрытую информацию мы должны тщательно проанализировать алгоритмы архивации и учитывать разные интерпретации спецификаций формата.

Мы разработали NyxEngine который гарантирует, что ни один байт не останется без внимания при проверке интересующих Вас архивных данных. Кроме того, Nyx выполняет детальную инспекцию данных, по результатам которых он определяет возможные уязвимости и ошибки в архивах. Благодаря интеграции NyxEngine в качестве верхнего слоя в архивации, мы можем успешно обнаруживать и предотвращать все известные и будущие уязвимости архиваторов. В дополнение к защите от эксплойтов, Nyx также ищет наличие умышленно скрытых  с использованием принципов стеганографии данных. Так как NyxEngine осуществляет детальный осмотр архива, он может исправить уязвимости и восстановить файлы, что делает его идеальным архивным препроцессором.

Для защиты от вторжений NyxEngine проверяет следующие области: хранилище длины имени файла и содержания, степень сжатия, внешние требования к алгоритму, контрольную сумму, работу с многотомными архивами, дублирование файлов и прочие проверки данных заголовка. Работая в качестве общего знаменателя для всех известных архиваторов, Nyx классифицирует каждый вид вмешательства.

Выполняя детальные проверки и корректировки "на лету", максимально возможный объем архивных данных восстанавливается и идентифицируется. Это лучший способ, чтобы найти файлы, которые находятся в архиве, но не отражены заголовке архива и извлечь из архива все до последнего бита. Этот метод этот работает не только с файлами, не описанных в заголовке архива, но и с любыми двоичными данными присутствующими в архиве, которые не отнесены к содержащимися в архиве файлами.

Подробный анализ файла предоставляемых Nyx позволяет восстановить максимальное количество поврежденных, испорченных и некорректных данных данных.

Ссылки:
Краткий текст новости на русском языке от E-NEWS
Скачать NyxEngine (RAR-архив)

Комментариев нет:

Отправить комментарий