Steganografie: Nový způsob šíření malwaru

Zatímco se připravujeme na boj proti zero-day hrozbám, populárním exploitům, smrtícímu viru COVID-19 . Hackeři vyvíjejí nové techniky k předávání malwaru na vašich počítačích. Koncept představený v roce 1499, který však existoval již od starověku, je novou zbraní. Říká se tomu „steganografie, tato nová technika se používá k odesílání dat ve skrytém formátu, takže je nelze přečíst. Nebezpečným novým trendem se stává kombinace řeckého slova (steganos) znamenajícího skrytý, skrytý a 'grafika' ve smyslu psaní.

Dnes v tomto příspěvku budeme diskutovat o této nové hranici a o tom, jak se před ní chránit.

Co je steganografie?

Jak již bylo řečeno, jde o novou metodu, kterou používají kyberzločinci k vytváření malwaru a nástrojů pro kybernetickou špionáž.

Na rozdíl od kryptografie, která zakrývá obsah tajné zprávy, steganografie skrývá skutečnost, že se zpráva přenáší nebo že je uvnitř obrazu umístěna škodlivá zátěž, aby se vyhnula bezpečnostním řešením.

Existují příběhy, že tato metoda byla používána v Římské říši k tajnému předávání zprávy. Vybírali otroka, který měl předat zprávu, a nechali mu oholit pokožku hlavy. Poté byla zpráva vytetována na kůži a jakmile vlasy dorostly, byl otrok poslán, aby zprávu předal. Přijímač pak použil stejný proces k oholení hlavy a přečtení zprávy.

Tato hrozba je tak nebezpečná, že se bezpečnostní experti museli shromáždit na místě, aby se naučili, jak s ní bojovat a deaktivovat skrývání informací.

Jak funguje steganografie?

Nyní je jasné, proč kyberzločinci používají tuto metodu. Ale jak to funguje?

Steganografie je pětinásobný proces – první útočníci provedou kompletní průzkum svého cíle, poté jej naskenují, získají přístup, zůstanou skryti, zakryjí stopy.

publications.computer.org

Jakmile je malware spuštěn na napadeném počítači, stáhne se škodlivý meme, obrázek nebo video. Poté je daný příkaz extrahován. V případě, že je v kódu skrytý příkaz „print“, pořídí se snímek obrazovky infikovaného počítače. Jakmile jsou všechny informace shromážděny, jsou odeslány hackerovi prostřednictvím konkrétní adresy URL.

Nedávný příklad toho pochází z události CTF Hacktober.org v roce 2018, kde byl TerrifingKity připojen k obrázku. Kromě toho se objevily také Sundown Exploit Kit, nové rodiny malwaru Vawtrack a Stegoloader.

Jak se steganografie liší od kryptografie?

Steganografie i kryptografie mají v zásadě stejný cíl, tj. skrývání zpráv a předávání třetím stranám. Ale mechanismus, který používají, je jiný.

Kryptografie mění informace na šifrovaný text, kterému nelze bez dešifrování porozumět. Přestože steganografie nemění formát, skrývá informace způsobem, o kterém nikdo neví, že jsou skryta data.

Jednoduše řečeno, steganografie je silnější a složitější. Dokáže snadno obejít DPI systémy atd., to vše z něj dělá první volbu hackerů.

V závislosti na povaze lze steganografii rozdělit do pěti typů:

• Textová steganografie – Informace skryté v textových souborech ve formě změněných znaků, náhodných znaků, bezkontextové gramatiky jsou textovou steganografií.
• Steganografie obrázku – Skrytí dat uvnitř obrázku je známé jako steganografie obrázku.
• Video steganografie – Skrytí dat do formátu digitálního videa je video steganografie.
• Zvuková steganografie – Tajná zpráva vložená do zvukového signálu, která mění binární sekvenci, je zvuková steganografie.
• Síťová steganografie – jak název napovídá, technika vkládání informací do síťových řídicích protokolů je síťová steganografie.

Kde zločinci skrývají informace

• Digitální soubory – Rozsáhlé útoky související s platformami elektronického obchodování odhalily použití steganografie. Jakmile je platforma infikována, malware shromažďuje podrobnosti o platbě a skrývá je v obrazu, aby odhalil informace související s infikovanou stránkou. Vydávání se za legitimní programy – Malware napodobuje přehrávač pornografie bez správného oklamání funkčnosti použité k instalaci infikované aplikace.
• Uvnitř ransomwaru – Jedním z nejpopulárnějších identifikovaných malwarů je ransomware Cerber. Cerber používá dokument k šíření malwaru.
• Uvnitř exploit kit – Stegano je prvním příkladem exploit kit. Tento škodlivý kód je vložen do banneru.

Existuje způsob, jak určit steganografii? Ano, existuje několik způsobů, jak identifikovat tento vizuální útok.

Způsoby, jak detekovat steganografické útoky

Metoda histogramu – Tato metoda je známá také jako metoda chí-kvadrát. Pomocí této metody je analyzován celý obrazový rastr. Načte se počet pixelů, které mají dvě sousední barvy.

securelist.com

Obr A: Prázdný nosič Obr. B: Naplněný nosič

Metoda RS – Jedná se o další statistickou metodu, která se používá k detekci nosičů užitečného zatížení. Obrázek je rozdělen do sady skupin pixelů a je použit speciální postup vyplňování. Na základě hodnot jsou data analyzována a identifikován snímek se steganografií

To vše jasně ukazuje, jak chytře využívají kyberzločinci steganografii k předávání malwaru. A to se nezastaví, protože je to velmi lukrativní. Nejen to, ale steganografie se také používá k šíření terorismu, explicitního obsahu, špionáže atd.