Стеганография: нов начин за разпространение на зловреден софтуер

Докато се подготвяме да се борим със заплахите от нулевия ден, популярните подвизи, смъртоносния вирус COVID-19 . Хакерите разработват нови техники за предаване на зловреден софтуер на вашите машини. Концепцията, въведена през 1499 г., но съществувала от древни времена, е новото оръжие. Нарича се „стеганография, тази нова техника се използва за изпращане на данни в скрит формат, така че да не могат да бъдат прочетени. Комбинацията от гръцката дума (steganos), която означава скрит, скрит и „графика“, което означава писане, се превръща в опасна нова тенденция.

Днес в тази публикация ще обсъдим тази нова граница и как да останем защитени от нея.

Какво е стеганография?

Както вече беше обсъдено, това е нов метод, използван от киберпрестъпниците за създаване на зловреден софтуер и инструменти за кибер шпионаж.

За разлика от криптографията, която прикрива съдържанието на тайно съобщение, стеганографията крие факта, че съобщението се предава или злонамерен полезен товар седи вътре в изображението, за да избегне решения за сигурност.

Има истории, че този метод е бил използван в Римската империя за тайно предаване на посланието. Те избираха роб, за да предадат посланието, и скалпа му се обръсва. След това съобщението беше татуирано върху кожата и след като косата порасна отново, робът беше изпратен да предаде съобщението. След това приемникът следваше същия процес, за да обръсне главата и да прочете съобщението.

Тази заплаха е толкова опасна, че експертите по сигурността трябваше да се събират на място, за да научат начини за борба с нея и да деактивират укриването на информация.

Как работи стеганографията?

Досега е ясно защо киберпрестъпниците използват този метод. Но как става това?

Стеганографията е петкратен процес – юмручните нападатели извършват цялостно проучване за целта си, след това я сканират, получават достъп, остават скрити, прикриват следите си.

publications.computer.org

След като зловредният софтуер се изпълни на компрометираната машина, се изтегля злонамерен мем, изображение или видео. След което дадената команда се извлича. В случай, че командата “print” е скрита в кода, се прави екранна снимка на заразената машина. След като цялата информация бъде събрана, тя се изпраща на хакера чрез конкретен URL адрес.

Скорошен пример за това идва от събитието на Hacktober.org CTF през 2018 г., където TerrifyingKity беше прикачен в изображение. В допълнение към това се появиха и Sundown Exploit Kit, нови семейства на злонамерен софтуер Vawtrack и Stegoloader.

Как стеганографията се различава от криптографията?

По принцип стеганографията и криптографията имат една и съща цел, т.е. скриване на съобщения и предаване на трети страни. Но използваният от тях механизъм е различен.

Криптографията променя информацията в шифрован текст, който не може да бъде разбран без декриптиране. Докато Steganography не променя формата, тя скрива информацията по начин, който никой не знае, че има скрити данни.

С прости думи, стеганографията е по-силна и по-сложна. Може лесно да заобиколи DPI системи и т.н. Всичко това го прави първият избор на хакери.

В зависимост от естеството стеганографията може да бъде разделена на пет вида:

• Стеганография на текст – Информацията, скрита в текстови файлове, под формата на променени знаци, произволни знаци, безконтекстни граматики са текстова стеганография.
• Стеганография на изображението – Скриването на данни вътре в изображението е известно като стеганография на изображението.
• Видео стеганография – Скриването на данни в цифров видео формат е видео стеганография.
• Аудио стеганография – Тайното съобщение, вградено в аудиосигнал, който променя двоичната последователност, е аудио стеганография.
• Мрежова стеганография – както подсказва името, техниката за вграждане на информация в протоколите за управление на мрежата е мрежова стеганография.

Където престъпниците крият информация

• Дигитални файлове – Мащабните атаки, свързани с платформи за електронна търговия, разкриха използването на стеганография. След като платформата е заразена, злонамереният софтуер събира данни за плащане и ги скрива в изображението, за да разкрие информация, свързана със заразения сайт. Представяне на легитимни програми – Злонамереният софтуер имитира като порнографски плейър без правилни функционални хитрини, използвани при инсталиране на заразеното приложение.
• Вътрешен ransomware – Един от най-популярните идентифицирани злонамерени програми е ransomware Cerber. Cerber използва документ за разпространение на зловреден софтуер.
• Вътре в експлойт комплект – Stegano е първият пример за експлойт комплект. Този злонамерен код е вграден в банер.

Има ли начин да се определи стеганографията? Да, има няколко начина за идентифициране на тази визуална атака.

Начини за откриване на стеганографски атаки

Метод на хистограма – Този метод е известен още като метод хи-квадрат. С помощта на този метод се анализира целия растер на изображението. Отчита се броят на пикселите, притежаващи два съседни цвята.

securelist.com

Фиг. А: Празен носител Фиг. Б: Напълнен носител

RS метод – Това е друг статистически метод, който се използва за откриване на носители на полезен товар. Изображението се разделя на набор от групи пиксели и се използва специална процедура за запълване. Въз основа на стойностите се анализират данните и се идентифицира изображение със стеганография

Всичко това ясно показва колко умело киберпрестъпниците използват стеганография, за да предават зловреден софтуер. И това няма да спре, защото е много доходоносно. Не само това, но Стеганографията се използва и за разпространение на тероризъм, явно съдържание, шпионаж и др.