Esteganografia: una nova manera de difondre programari maliciós

Mentre ens preparem per lluitar contra les amenaces del dia zero, les explotacions populars, el virus mortal COVID-19 . Els pirates informàtics estan desenvolupant noves tècniques per transmetre el malware a les vostres màquines. Un concepte introduït el 1499 però que existia des de l'antiguitat és la nova arma. Es diu “esteganografia aquesta nova tècnica s'utilitza per enviar dades en un format ocult perquè no es puguin llegir. Una combinació de la paraula grega (steganos) que significa amagat, amagat i "grafia" que significa escriure s'està convertint en una nova tendència perillosa.

Avui en aquest post parlarem d'aquesta nova frontera i de com mantenir-nos protegits.

Què és l'esteganografia?

Com ja s'ha comentat, és un nou mètode utilitzat pels ciberdelinqüents per crear programari maliciós i eines d'espionatge cibernètic.

A diferència de la criptografia, que dissimula el contingut d'un missatge secret, l'esteganografia amaga el fet que s'està transmetent un missatge o que hi ha una càrrega útil maliciosa dins de la imatge per esquivar solucions de seguretat.

Hi ha històries que aquest mètode es va utilitzar a l'Imperi Romà per transmetre el missatge en secret. Solien seleccionar un esclau per transmetre el missatge i es van afaitar el cuir cabellut. En fer-ho, el missatge es va tatuar a la pell i un cop els cabells van tornar a créixer, l'esclau va ser enviat a transmetre el missatge. Aleshores, el receptor solia seguir el mateix procés per afaitar el cap i llegir el missatge.

Aquesta amenaça és tan perillosa que els experts en seguretat van haver de reunir-se en un lloc per aprendre maneres de combatre-la i desactivar l'ocultació de la informació.

Com funciona l'esteganografia?

Ara està clar per què els ciberdelinqüents utilitzen aquest mètode. Però, com funciona això?

L'esteganografia és un procés de cinc aspectes: els atacants de puny fan una recerca completa del seu objectiu, després d'això l'escanegen, hi accedeixen, es mantenen amagats i cobreixen les seves petjades.

publications.computer.org

Una vegada que el programari maliciós s'executa a la màquina compromesa, es descarrega un meme, una imatge o un vídeo maliciós. Després d'això, s'extreu l'ordre donada. En cas que l'ordre "imprimir" estigui amagada al codi, es fa una captura de pantalla de la màquina infectada. Un cop recopilada tota la informació, s'envia al pirata informàtic mitjançant una adreça URL específica.

Un exemple recent d'això prové de l'esdeveniment Hacktober.org CTF de 2018 on TerrifyingKity es va adjuntar en una imatge. A més d'això, també van sorgir Sundown Exploit Kit, noves famílies de programari maliciós Vawtrack i Stegoloader.

En què és diferent l'esteganografia de la criptografia?

Principalment, tant l'esteganografia com la criptografia tenen el mateix objectiu, és a dir, amagar missatges i transmetre'ls a tercers. Però el mecanisme utilitzat per ells és diferent.

La criptografia altera la informació a un text xifrat que no es pot entendre sense desxifrar. Tot i que l'esteganografia no canvia el format, amaga la informació d'una manera que ningú sap que hi ha dades amagades.

En paraules simples, l'esteganografia és més forta i complexa. Pot evitar fàcilment els sistemes DPI, etc., tot això el converteix en la primera opció dels pirates informàtics.

Depenent de la naturalesa, l'esteganografia es pot dividir en cinc tipus:

• Esteganografia de text: la informació oculta als fitxers de text, en forma de caràcters modificats, caràcters aleatoris, gramàtiques sense context són esteganografia de text.
• Esteganografia d'imatge: amagar dades dins de la imatge es coneix com a esteganografia d'imatge.
• Esteganografia de vídeo: amagar dades en format de vídeo digital és esteganografia de vídeo.
• Esteganografia d'àudio: el missatge secret incrustat en un senyal d'àudio que altera la seqüència binària és l'esteganografia d'àudio.
• Esteganografia de xarxa: com el nom indica, la tècnica d'incrustar informació dins dels protocols de control de xarxa és l'esteganografia de xarxa.

On els delinqüents amaguen informació

• Fitxers digitals: els atacs a gran escala relacionats amb plataformes de comerç electrònic van revelar l'ús de l'esteganografia. Una vegada que la plataforma està infectada, el programari maliciós recull les dades de pagament i les amaga dins de la imatge per revelar informació relacionada amb el lloc infectat. Suplantació de programes legítims: el programari maliciós imita com a reproductor de pornografia sense la funcionalitat correcta que s'utilitza per instal·lar l'aplicació infectada.
• Dins del ransomware: un dels programes maliciosos identificats més populars és el ransomware Cerber. Cerber utilitza un document per difondre programari maliciós.
• Dins d'un kit d'explotació: Stegano és el primer exemple del kit d'explotació. Aquest codi maliciós està incrustat dins d'un bàner.

Hi ha alguna manera de determinar l'esteganografia? Sí, hi ha diverses maneres d'identificar aquest atac visual.

Maneres de detectar atacs d'esteganografia

Mètode de l'histograma: aquest mètode també es coneix com a mètode chi quadrat. Amb aquest mètode s'analitza tota la imatge ràster. Es llegeix el nombre de píxels que tenen dos colors adjacents.

securelist.com

Fig A: Un portador buit Fig B: Portador ple

Mètode RS: aquest és un altre mètode estadístic que s'utilitza per detectar els portadors de càrrega útil. La imatge es divideix en un conjunt de grups de píxels i s'utilitza un procediment d'ompliment especial. A partir dels valors s'analitzen les dades i s'identifica una imatge amb esteganografia

Tot això mostra clarament amb quina intel·ligència els ciberdelinqüents utilitzen l'esteganografia per transmetre programari maliciós. I això no s'aturarà perquè és molt lucratiu. No només això sinó que l'esteganografia també s'utilitza per difondre terrorisme, contingut explícit, espionatge, etc.