计算机科学 > 密码学与安全
[提交于 2025年7月11日
]
标题: Favicon 恶意软件:通过 Ico 透明通道利用的可执行隐写术
标题: Favicon Trojans: Executable Steganography Via Ico Alpha Channel Exploitation
摘要: 本文提出了一种使用ICO图像文件的alpha透明度层进行可执行隐写术的新方法,以在网页浏览器中嵌入和传递自解压JavaScript有效负载。 通过针对非透明alpha层图像值的最低有效位(LSB),所提出的方法成功地将压缩的JavaScript代码隐藏在favicon图像中,而不会影响视觉保真度。 全球网络流量每天加载2940亿个favicon,并消耗0.9拍字节的网络带宽。 一个概念验证实现表明,64x64 ICO图像可以嵌入最多512字节的未压缩数据,或使用轻量级两倍压缩时为0.8千字节。 在页面加载时,浏览器会按照标准行为获取favicon,使得嵌入的加载器脚本能够使用原生JavaScript API和画布像素访问功能在内存中完全提取和执行有效负载。 这创建了一个两阶段的隐蔽通道,无需额外的网络或用户请求。 在桌面和移动环境中的多个浏览器上进行的测试证实了嵌入脚本的成功且无声执行。 我们评估了威胁模型,将其与逃避基于favicon检测的多态性钓鱼攻击相关联,并分析了内容安全策略和杀毒扫描程序的规避情况。 我们将九个MITRE ATT&CK框架目标映射到单行JavaScript,以在ICO文件中任意执行。 讨论了现有的隐写分析和清理防御措施,突出了在检测或中和alpha通道漏洞方面的局限性。 结果表明,这种隐蔽且可重复利用的攻击面模糊了静态图像和可执行内容之间的传统边界。 由于现代浏览器在开发人员特定未能加载ICO文件时报告静默错误,此攻击面提供了一个有趣的示例,说明了必要的网络行为反过来损害安全性的情况。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.