parsing maliciously crafted GIF files

D

dproductions

0
Hi,

ich hab den Eindruck, mein DSL Provider will sich den Zugriff auf meine Systeme verschaffen, indem mir in einem Email drei GIF Files als attachment beigefügt wurden. Mit einem HEX editor hab ich in einem dieser GIF Files Code in Klartext mit Hinweise auf msOffice festgestellt. Da ich mich gefragt habe, was das in einem GIF File zu suchen hat, bin ich auf der Suche nach einem parser, der mir eindeutig beweisen kann, dass mit den GIF Files was nicht in Ordnung ist. Kann mich jemand weiterhelfen?

MfG
Andre Bianchetti
Dipl.Ing.Ing.ETH/El.Ing.HTL
 
Viele Grafikprogramme hinterlassen Hinweise in GIF-Dateien (z.B. GIMP). Ich glaube, Microsoft Office Powerpoint kann erstellte, gruppierte Konstrukte in verschiedene Grafikformate exportieren.

Schadcode über GIFs halte ich für unwahrscheinlich, da die ja nicht ausgeführt werden, wäre das nur sehr selten nützlich. Wenn du trotzdem Angst hast, sie könnten Schadcode enthalten, ist es wohl das beste, sie oder ihre hexdumps (meinetwegen den betreffenden ausschnitt, wenn der rest sensible infos enthält) hier zu posten.
 
Hi Rami,

danke für den Hinweis. Dies löst immer noch nicht mein Problem, denn ich möchte eindeutige Beweise für was mit den GIF Files los ist. Ich habe Grund genug für meine Annahmen, denn ich bin etwas auf der Spur. Doch bevor ich Dir meine Vermutungen erörtere, schau dir folgenden Link an:
http://www.zerodayinitiative.com/advisories/ZDI-08-056/
besonders den Abschnitt mit dem Beschrieb der "Vulnerability".
Ich weiss nicht wie es in Deutschland mit den Telco Monopolisten steht, aber hier in der Schweiz, ist denen jeden Mittel Recht um Profit zu schlagen. Bezugnehmend zu meinen Vermutungen, welche ich presentieren werde, wäre ich sehr dankbar, wenn ich Feedback von ähnlichen Fälle bekommen würde.

Vermutung1:
Die Abschlatung des DSL Anschlusses erfolgte za. 10 min. nachdem ich eine Kabel Dreambox, die ich reparieren musste, in meinem Netzwerk anschliess und sie ein automatisches Update der Cam Module ausführte. Da inzwischen die grossen Telco Provider auch Pay-TV mit ihren Setup Boxen anbieten, liegt es kaum in ihrem Interesse, dass Leute kostenlos sämtliche TV Programme anschauen können. Ich gehe davon aus, die haben in ihren Backbones Security Automatismen, welche anhand von Black-Lists, Files transfers überprüfen.

Vermutung2:
Obwohl ich als Informatik Ingenieur an der Hochschule abgeschlossen habe, konnte ich mit Hilfe des Customer Care erst nach 1 1/2 Stunden den DSL Anschluss wieder zu laufen bringen. Ich muss davon ausgehen, dass 90% der Normalsterblichen, dies selbst nicht hinkriegen und auf den Home Service des Providers, welches teures Geld kostet, angewiesen sind. Und wenn der Call Center Agent mir noch erzählt, sie hätten noch 1800 solche Tickets wie meinem zu bearbeiten, da muss ich davon ausgehen, dass da was Faul ist.

Da ich nach der Wiederinbetriebnahme meines DSL Anschlusses ausdrücklich nach Fakten, welche zur Abschlatung geführt haben, gefragt habe, erhielt ich ein Email mit den logs vom Email Verkehr zwischen einen junke Mail Service Provider und den internen administrativen Stellen der Telco Gesellschafft. Im Attachment dieses emails waren drei GIF Files mit den Logos der Telco Gesellschaft. Ich hatte in den Attachment weitere Logs erwartet, denn der Inhalt des Emails war belanglos und betraf eine Spam Attacke, welche eindeutig nicht auf meine Systeme ausging.

Also, wie kann ich nun die File Parsen?

Gruss
Andre
 
Hallo,
also: Attacken über Gif-Files sind möglich, können aber nur einzelne Programme betreffen. Ich könnte versuchen damit den IE, Windows Bildbetrachter oder Photoshop anzugreifen.

Eine Attacke aber auf mehr als zwei Anzeigeprogramme ist sehr unwahrscheinlich. Ebenso ist das allgemein recht schwierig, per Gif-Bild Schadcode einzuschleusen, da das Anzeigen/parsen von Gif Bilder vergleichsweise sehr einfach ist. Das Risiko Bilder anzugucken ist somit gering.

Ansonsten lade das Bild bei Viren-Onlinescannern hoch (z.B. VirusTotal), die dann x verschiedene Virenprogramme auf dem Bild testen lassen. Sofern das wirklich Schadcode für eine Anwendung enthalten sein sollte, sollten diese es finden.

Ein Programm was eindeutig beweisen kann ob Schadcode enthalten ist oder nicht gibt es nicht. Dazu müsste es alle Programme kennen, die irgendwie Gif-Dateien verarbeiten und schauen ob die in irgendeiner Version anfällig sind. Schlicht also nicht möglich.
Und das universelle Feld 'hier Schadcode einfügen' ist im Gif-Format nicht vorgesehen. Du kannst nur einen Ansatz bekommen wenn verschiedene Virenprogramme es als unbedenklich einstufen oder aber evt. ein Virenscanner alarm schlägt.

Oder nutze eine (Linux) Live-CD und öffne das Bild. Wenn es fehlerfrei angezeigt wird, ist es meist ein Hinweis dass kein Schadcode enthalten. Bilder mit Schadcode können zumeist nicht richtig angezeigt werden, da der Schadcode das Bild "zerstört" und zu parsing-errors bei nicht verwundbaren Programmen führt.

Mein Gefühl sagt aber, das da eine Menge Paranoia deinerseits mit dabei ist
 
Zuletzt bearbeitet:
Hallo.

Natürlich ist es möglich in einem manipuliertem Bild Schadcode unter zu bringen und diesen auch auf einem Zielrechner auszuführen. Entweder direkt mittels einer Schwachstelle oder spätestens durch bestimmte Benutzer-Interaktionen.

Und ja, natürlich wäre es auch denkbar, dass ein schweizer Telekommunikationsriese seine (Ex)-Mitarbeiter ausspioniert. Sind ja nicht nur ALDI und LIDL so drauf.
Allerdings solltest du nach deiner anscheinend 10-jährigen Erfahrung in der Telco-Branche wissen, dass sie da ganz andere Möglichkeiten und Ansatzpunkte haben als mit manipulierten GIFs herum zu hantieren. Das ergibt doch einfach keinen Sinn, denn mit so einer Masche muss man jeden Tag damit rechnen aufzufliegen (spätestens wenn mal die AV-Heuristik anschlägt oder es ähnliche/passende Signaturen für diesen Angriffsvektor gibt).
Wenn sie sich da bspw. in deinen Uplink hängen, können sie dir bei jedem Webseiten-Aufruf soviel Malware unterschieben bis deine Festplatte ächzt und kracht. Und das wäre um Längen schwieriger zu entdecken und für sie leichter zu vertuschen.
Aber auch daran glaube ich weniger. Dafür sind (noch) zuviele Schlipse in entscheidenden Positionen und sie haben trotz ihres Branchen-Hintergrundes wenig Bezug zu dieser Materie. Sie würden wohl eher auf normale Detektive setzen um ihre Mitarbeiter oder Konkurrenten auszuspionieren.

Deine Probleme hören sich vielmehr nach typischen DSL-Problemen an. Bei 1und1 fallen halt mal für einen halben Tag sämtliche DNS-Server aus und bei dir konnte deine FritzBox, aus nicht genannten Gründen, halt mal 2 Stunden lang keine Verbindung aufbauen... Sowas kommt jeden Tag sogar häufiger als 1800 mal vor.
Und eine ehrliche Begründung bekommst du da in den seltesten Fällen. Wozu auch? 99% aller Leute, die sowas anfragen könnten nichts mit der Antwort anfangen. Zumal es die Leute beim Telefon-Support eh als letztes erfahren (oder nie).
Dass sie dir da eine Mail mit nutzlosem Kram schicken, wundert mich eigentlich nicht.

Ich würde dir vorschlagen die ganze Situation nochmal von einem neutralen, logischen Standpunkt aus zu betrachten und wenn du wirklich glaubst, dass da Schadcode in den Bildern ist, lade sie gepackt in einem Archiv hier hoch und lass uns einen Blick darauf werfen. ;)

Grüße
Dresko
 
Hi,

vorerst vielen Dank für Eure bemerkenswerte Stellungsnahmen, die mir sehr behilflich erscheinen. Die Bemerkung ich sei Paranoid, kann ich wohl teilen. Ich gehe davon aus, es gehört sich zu meiner Berufsgattung eine analytische Vorgehensweise zu vertreten und sich mit tiefgreifenden Sicherheitsaspekte zu befassen. Inwiefern es einen Sinn ergibt, sei jedem dahingestellt. Die Motivation zu meiner Thematik, gründet auf den Wunsch des "Verstehens". Aufgrund Eurer Stellungsnahmen, muss ich feststellen, es ist manchmal vorteilhaft, sich nicht so akribisch mit gewissen Thematiken auseinanderzusetzen.
Nichtdestotrotz habe ich doch als Kunde eines DSL Providers das Recht zu erfahren, wieso man gezielt meinen Anschluss ohne Vorwarnung abgestellt hat, in Anbetracht der Tatsache, mir kein Verschulden nachweisbar ist. Rechtlich gesehen, gilt dies gemäss den AGBs als Vertragsbruch, denn eine nicht vorangekündigte Abschaltung nur infolge Schädigung Dritter erfolgen darf. Bei Abschaltung eines DSL Anschlusses, haben die CC-Agenten die Anweisung, der Kunde soll sämtliche Passwörter ändern. D.h. pw von mein System zum Router, der router pw für den Verbindungsaufbau zum Backbone, den Customer Care Site Login pw, den Email Account pw, die SSID von Vlan, usw. usw. Dass man aber den pw für die Verbindung von router zum Backbone nur auf der CC site ändern kann, ist sehr fraglich. Da keine Verbindung steht, kann man sich nicht einloggen und den pw nicht ändern. Dass muss man explizit beim CC verlangen.
Infolge meiner Beschwerbe, hab ich das Email mit den erwähnten GIFs erhalten. Also gut, damit wir zum Punkt kommen. Eines der betroffenen GIF Files (Endung txt in GIF umschreiben) und ein Abschnitt aus einem Vergleich desselben Files mit einem Hex Editor ( Links, das betroffene File), tue ich als Attachment rein.
Noch vielen Dank für die Unterstützung!!!!


Gruss
Andre
 
das gif wirkt auf mich wie ein stink normales gif dvon swisscom.
ich hab das ganze auf meiner xp-sandbox ausgeführt. es hat keine neuen prozesse gespawnt, nix auf die festplatte geschrieben und keine verbindung nach aussen versucht zumindest wenn ich das ganze mit IE / standardbildanzeigeprogramm (ka wie das bei xp heist) geöffnet hab. (IE ist noch IE6 zum testen gg)
 
Hmm, fuer mich klingt das alles nach normalem Vorgehen, klar, dass man diverse Passwoerter nur mit Unterstuetzung des Supports aendern kann ist suboptimal, allerdings hindert dich ja nichts daran, nachher, mit funktionierendem Internetzugang ein neues Passwort zu setzen. Meiner Ansicht nach solltest du gerade als Akademiker mit dem Prinzip von Ockhams Rasiermesser vertraut sein. Von den zwei Erklaerungen, dass jemand hinter dir her ist (oder hinter deinem Internetzugang) und dass einfach mal kurz etwas nicht funktioniert hat (z.b. weil irgendein Servicetechie gerade nen Router neugestartet hat oder so) ist die letzte einfach die schluessigere.
 
Hi,

vielen vielen Dank für die hilfreichen Feedbacks!!!!
In diesen Zusammenhang, hab ich feststellen müssen, dass es wohl an mir liegt, mich korrekt auszudrücken (dt nicht meine Muttersprache) und hab wahrscheinlich mit meiner Anfrage verschiedene Thematiken angesprochen und alles durcheinandergemischt.

Wenn die Rede von der Sperrung meines DSL Anschlusses war, wollte ich Euch klar machen, dass dies gezielt erfolgt ist. D.h. keine Störungen beim Provider, defekter Router oder Wartungsfenster usw.usw. Am 02.02 nachmittags, als ich am PC arbeitete, plötzlich erschien eine Web-Site von der Telco Gesellschafft mit den Hinweis, aus meinem Netzwerk aus Spam Attacken erfolgen und etliche Kunden davon betroffen seien. Als Konsequenz werde umgehend mein der DSL Anschluss gesperrt. Da ich meine Systeme selbst "dicht" mache, konnte ich mich den Vorfall nicht erklären. Wie Ihr mir erklärt habt, erfolgt heutzutage, die Administration sämtlicher Passwörter für die Dienste des Provider, beim Provider selbst. D.h. unter anderem wird der pw für die Verbindung vom router zum Backbone, auf der Site des Providers konfiguriert. Ohne Verbindung geht das ja nicht. Meiner Meinung nach, kann Otto-Normalbürger, sein DSL-Anschluss ohne Beihilfe eines Spezialisten, nicht mehr selbst in Gange bringen. Wir gehen immer von uns aus. Aber wieviele Leute haben keine Ahnung von der Materie? Dazu kommt, man wird ermahnt, man solle sich an den AGBs halten und wenn man Dritte schadet, man mit Schadenersatz rechnen muss. Was mich stutzig gemacht hat, ist dass beim Anruf beim CustomerCare ich erfuhr, etliche solche Fälle seien pendent. Es war die Rede von 1800 Tickets. Nun stellt sich die Frage, ob die Sperrungen von DSL Anschlüsse berechtigt sind oder gezielt durchgeführt werden, damit die Telcos Ihre kostenpflichtigen Dienste anbieten können. Da ich nach wiederholter Anfrage bei der Telco Gesellschaft, keine eindeutige Beweise für mein Verschulden erhalten habe, kann sich jeder darüber Gedanken machen. Eine Wiederinbetriebnahme eines DSL Anschlusses privat beim Kunde durch den Provider kostet 185.00 Fr + Reisespesen, welche mit 140.00Fr pro Stunde zu buche kommen. Das zum Thema Abschaltungen.

Was die GIF Files betrifft, wollte ich nur wissen, was die komischen Referenzen zu MSOffice in einem GIF File zu suchen haben. Ich wusste von früher, GIF Attachments mit Vorsicht zu öffnen und deswegen hab ich eins der GIF Files mit einem HEX Editor angeschaut. That's it! Zum Thema remote execution durch malvicios GIF files. Hab irgendwo gelesen, dass eine Attacke, nicht durch ein einziges File erfolgen kann, sondern man benötigt schon mehrere davon. Mag sein, dass das erste nichts angegeben hat. Jedenfalls wird es mir zu kompliziert und gemäss Eurer Aussagen ist es praktisch unmöglich den Hack Code rauszulesen.

Trotzdem vielen vielen Dank für die Hilfe!!!!

Never thrust big brother....


Grüsse
Andre
 
Naja, auch das klingt fuer mich regulaer. Wenn Spam aus einem Subnetz kommt, das deinem Provider gehoert, bleiben evtl. kommende Schadensersatzforderungen erstmal beim Provider haengen, von daher machts nur Sinn, erstmal, also bis man weiteres weisz, das jeweilige Subnet abzuschalten. Dass danach die Empfehlung kommt, Passwoerter zu aendern, klingt auch nur logisch, da der Spam ja z.b. durch irgendwelche Trojaner verursacht sein kann. Dass der Provider Geld verlangt, um den Anschluss wieder zu aktivieren, klingt allerdings eher merkwuerdig. Sollte davon nichts in deinem Vertrag stehen, wuerde ich mich an deiner Stelle mal mit einem Anwalt unterhalten, ob man da eventuell Schadensersatzforderungen durchsetzen kann.
 
ähm du hattes was gesgat gehabt du hast ein paytv box angeschlossen an dein modem?
hat die box evtl versucht eine dsl verbindung aufzubauen mit falschen zugangsdaten?
da wird der account meist auch gesperrt nach so und so vielen falschen versuchen. und erst nach einer gewissen zeit wieder freigegeben oder halt nach anruf der service hotline (so ist es zumindestens in bei der dt. telekom)
 
Hi,

kurz zum Thema GIFs und die Bemerkungen vom Moderator. Da ich keine Linux Kisten da habe und mir keine Mühe machen wollte eine Linux Boot CD zu erstellen, hab ich schnell eine meiner SUN Kisten gestartet und auf diese einer der ominösen GIF Files und andere von mir als Referenz rübergebeamt. Siehe da, eine alte Version vom Navigator hat überhaupt keine Probleme mit sämtlichen meiner Files, nur mit dem ominösen.
Danke für den Tipp!!!!
Da ich mit dem Email vom Provider bezugnehmend zur Anfrage nach logs, mir die Attachments (GIF) fragwürdig vorkamen, hab ich nur ein GIF file auf meiner Arbeitskiste runtergeladen. Man weiss ja nie...
Nun werde ich die anderen zwei von einer anderen Maschine runterladen und prüfe ob diese dieselben Fehlermeldung auf der SUN generieren.


Gruss
Andre
 
Hi,

@Khakky: die Box baut keine Verbindung auf, sie wurde nur in meinem internen LAN angehängt. Die DSL Verbindung wird durch ein Router "gemanaged".

@Farhaven: Hab mich eingehend mit den AGBs des Service Providers auseinandergesetzt. Fakt ist, der Kunde hat praktisch keine Rechte. Der Kunde ist verantwortlich für seine Systeme und wehe wenn was aus den Systemen vom Kunde kommt. Da ist die Rede von Schadenanspruchsandrohungen usw. usw. Weiter kann der Provider nicht wegen Attacken belangt werden. Der Provider bietet aber für die Aufschaltung eines DSL Anschlusses seine Dienstleistungen. Kostenpflichtig versteht sich. Dies ist ausdrücklich in den AGBs beschrieben....

Gruss
Andre
 
Hallo.

Ich kann in dem Bild auch nichts entdecken außer... einem Bild. :D

Das Wort "MSOFFICE", das man im Hex-Editor sieht, stammt wohl aus irgendwelchen Meta-Daten, die in dem Bild gespeichert sind. Scheinbar wurde es einfach mal mit einem Programm der MS-Office-Familie bearbeitet oder erstellt.

Dass die Dateien angehängt wurden, könnte am Mailprogramm und dessen Einstellungen liegen. Wenn eingebette Bilder nicht verarbeitet werden können, besteht oft die Möglichkeit sie anzuhängen (entweder mit Nachfrage oder automatisch). Outlook macht das z.B. so wenn man eine HTML-Mail erstellt, Bilder einbettet und die Mail dann als Plaintext versendet. Vielleicht kommt daher ja auch diese ominöse Metainformation.

MfG
Dresko
 
Hi Dresko,

das scheint mir eine plausible Antwort, denn die Logos im Attachment entsprechen die Logos im Header des Emails, das ich bekommen habe. Weiter, ist im ersten Logo im Header des Emails eine URL zur Telco hinterlegt. Was ich nicht ganz verstehe, ist wie die Meta Daten in den GIFs reinkommen. Gemäss GIF definition nach Compuserve, enthält ein GIF File nur Daten zur Darstellung des Inhaltes, sprich Screen Descriptor, Color maps, image desc, Raster data usw.usw. Also ein Fehler im email Programm?

Gruss
Andre
 
dproductions hat gesagt.:
Hi Dresko,

das scheint mir eine plausible Antwort, denn die Logos im Attachment entsprechen die Logos im Header des Emails, das ich bekommen habe. Weiter, ist im ersten Logo im Header des Emails eine URL zur Telco hinterlegt. Was ich nicht ganz verstehe, ist wie die Meta Daten in den GIFs reinkommen. Gemäss GIF definition nach Compuserve, enthält ein GIF File nur Daten zur Darstellung des Inhaltes, sprich Screen Descriptor, Color maps, image desc, Raster data usw.usw. Also ein Fehler im email Programm?

Gruss
Andre
Zum Vergrößern anklicken....

eher hält sich da ein programm nicht an den GIF standard und schreibt da die meta datein irgendwo rein
 
Hi all,

ich glaube nicht an Zufälle und deswegen möchte ich Euch ermuntern, die Tagespresse bezugnehmend zur Telco Gesellschaft die mir die ominöse GIFs geschickt hat, zu betrachten. Sprich Tochtergesellschaft Fastweb.....

Weiter hab ich versucht das Email, bzw. das html Email mit den Logos mit verschiedenen Mail Clients zu verschicken. Keiner der Programme fügt die Logos als attachment an.

Gruss
Andre
 
dproductions hat gesagt.:
Hi all,

ich glaube nicht an Zufälle und deswegen möchte ich Euch ermuntern, die Tagespresse bezugnehmend zur Telco Gesellschaft die mir die ominöse GIFs geschickt hat, zu betrachten. Sprich Tochtergesellschaft Fastweb.....

Weiter hab ich versucht das Email, bzw. das html Email mit den Logos mit verschiedenen Mail Clients zu verschicken. Keiner der Programme fügt die Logos als attachment an.

Gruss
Andre
Zum Vergrößern anklicken....

das diverse email clients bilder nur als anhang verschicken gibt es schon, angesprochen wurde ja outlook. es gibt auch browser variante (webmail) die bilder von html mails als anhang ranhängen
 
Elderan hat gesagt.:
können aber nur einzelne Programme betreffen
Zum Vergrößern anklicken....

Nun, der Vuln-Beschreibungslink, den der Thredersteller gepostet hat, redet von einer Schwachstelle in GDI+. Ich weiß nicht, wie viele Programme diese Library benutzen, aber sie ist AFAIK Standard unter Windows... Könnten also viele Programme betroffen sein.

dproductions hat gesagt.:
Eine Wiederinbetriebnahme eines DSL Anschlusses privat beim Kunde durch den Provider kostet 185.00 Fr + Reisespesen, welche mit 140.00Fr pro Stunde zu buche kommen. Das zum Thema Abschaltungen.
Zum Vergrößern anklicken....

Ganz klar: Providerwechsel beim nächsten möglichen Kündigungstermin, würde ich sagen.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben