Tags:
Node Thumbnail

มัลแวร์ Pegasus ของ NSO Group มีความซับซ้อนสูง และสามารถทะลุระบบป้องกันของบริษัทต่างๆ ได้อย่างมีประสิทธิภาพจนบริษัทไอทีจำนวนมากรวมถึงแอปเปิลฟ้อง วันนี้ทาง Project Zero ของกูเกิลก็ออกมาวิเคราะห์ความเก่งกาจของกระบวนการเจาะเข้าไปวางมัลแวร์ในโทรศัพท์

Project Zero พบว่ากระบวนการแฮกโทรศัพท์แบบไม่ต้องคลิกใดๆ (zero click) ของ NSO Group อาศัยการส่งไฟล์ภาพนามสกุลไฟล์เป็น GIF ที่ iMessage จะพยายามแสดงภาพทันที แต่เนื้อไฟล์ภายในที่จริงแล้วเป็น PDF ที่ตัว iMessage จะรู้เมื่ออ่านเนื้อไฟล์ และพยายามเรนเดอร์ภาพอยู่ดีด้วย CoreGraphics PDF

แม้ว่าไฟล์ PDF นั้นสามารถใส่จาวาสคริปต์ได้ และเป็นจุดที่แฮกเกอร์มักใช้โจมตีระบบต่างๆ เรื่อยๆ แต่ใน CoreGraphic นั้นไม่ได้รันจาวาสคริปต์ใน PDF ทำให้ NSO หันไปใช้ตัวเข้ารหัสบีบอัดภาพ JBIG2 ที่รับข้อมูลภาพขาวดำที่บีบอัดอย่างหนัก และกระบวนการขยายข้อมูลกลับเป็นภาพต้องทำตามคำสั่งในไฟล์ภาพค่อนข้างซับซ้อน โดย JBIG2 ได้รับความนิยมในสแกนเนอร์เก่าๆ จำนวนมากเพราะได้ไฟล์เล็ก ตัว PDF นั้นรองรับการใส่ภาพ JBIG2 จนทุกวันนี้

No Description

ความซับซ้อนของฟอร์แมต JBIG2 ทำให้ NSO สามารถควบคุมการทำงานของตัวขยายภาพจนทำงานได้เหมือน logic gate และเมื่อต่อ logic gate จำนวนกว่า 70,000 ชุดก็ได้คอมพิวเตอร์เสมือนขนาดเล็กรันอยู่บนตัวขยายข้อมูลภาพ ทาง NSO สามารถเขียนโปรแกรมบนคอมพิวเตอร์เสมือนนี้เพื่อค้นหาข้อมูลหน่วยความจำ และการรันสคริปต์ได้โดยไม่ต้องอาศัยเอนจินรันสคริปต์เลยก็นับเป็นความเก่งกาจของมัลแวร์ตัวนี้

การรันสคริปต์จากไฟล์ภาพได้เป็นเพียงจุดเริ่มต้น ทาง Project Zero ระบุว่าจะเล่าถึงกระบวนการเจาะทะลุ sandbox ของตัวขยายข้อมูลภาพต่อไป

ที่มา - Project Zero

Get latest news from Blognone

Comments

By: Azymik on 16 December 2021 - 07:18 #1234593

กระบวนการเจาะเจ้าไปวางมัลแวร์ >> กระบวนการเจาะเข้าไปวางมัลแวร์

By: paween_a
Android
on 16 December 2021 - 08:19 #1234595
paween_a's picture

อ่านดูแล้วทึ่งจริงๆ

By: adente
ContributorSUSESymbianWindows
on 16 December 2021 - 08:36 #1234596
adente's picture

สั้นๆคือเขียนสคริปให้ตัวขยายการบีบอัดภาพสร้างมินิคอมพิวเตอร์ขึ้นมาภายในแล้วแฮ็กจากตรงนั้น โดยสคริปที่ว่าอาจจะอยู่ในไฟล์ meme gif เล็กๆไฟล์เดียว
OMG+WTF มาก

By: BLiNDiNG
AndroidUbuntuWindowsIn Love
on 16 December 2021 - 16:59 #1234682 Reply to:1234596
BLiNDiNG's picture

gif เป็นแค่นามสกุลหลอกครับ ตัวไฟล์จริงๆ อยู่ในภาพใน pdf อีกที

By: modernelf on 16 December 2021 - 08:51 #1234600

ส่งไฟล์ .gif ก็สามารถเจาะไอโฟนได้แล้ว แน่นอนจริงๆ

By: darkleonic
ContributorAndroidWindowsIn Love
on 16 December 2021 - 16:32 #1234679 Reply to:1234600
darkleonic's picture

ยุคหนึ่งก็ใช้ Jailbreak ด้วยไฟล์ PDF นี่แหละครับ


I need healing.

By: mementototem
ContributorJusci's WriterAndroidWindows
on 16 December 2021 - 09:20 #1234608
mementototem's picture

สุดยอดเลย


Jusci - Google Plus - Twitter

By: mr_tawan
ContributoriPhoneAndroidWindows
on 16 December 2021 - 10:14 #1234617
mr_tawan's picture

๋JBIG2 นี่ดูท่าจะไม่ได้ไปต่อ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: zerocool
ContributoriPhoneAndroid
on 16 December 2021 - 13:02 #1234648
zerocool's picture

โหดจริง


That is the way things are.