Стеганографія: новий спосіб поширення шкідливих програм

Поки ми готуємося до боротьби із загрозами нульового дня, популярними подвигами, смертельним вірусом COVID-19 . Хакери розробляють нові методи, щоб передати шкідливу програму на ваші машини. Концепція нової зброї, введена в 1499 році, але існувала з давніх часів. Це називається «стеганографія. Ця нова техніка використовується для надсилання даних у прихованому форматі, щоб їх неможливо було прочитати. Поєднання грецького слова (steganos), що означає прихований, прихований, і «графіка», що означає письмо, стає новою небезпечною тенденцією.

Сьогодні в цій публікації ми обговоримо цей новий кордон і як захиститися від нього.

Що таке стеганографія?

Як уже обговорювалося, це новий метод, який використовують кіберзлочинці для створення шкідливих програм та інструментів кібершпигунства.

На відміну від криптографії, яка маскує вміст секретного повідомлення, стеганографія приховує той факт, що повідомлення передається або шкідливе корисне навантаження знаходиться всередині зображення, щоб уникнути рішень безпеки.

Є історії, що цей метод використовувався в Римській імперії для таємної передачі повідомлення. Вони обирали раба, щоб передати повідомлення, і чистили його голову. Після цього повідомлення було нанесено татуюванням на шкіру, а коли волосся відросло, раба відправили передати повідомлення. Потім одержувач виконував той самий процес, щоб поголити голову та прочитати повідомлення.

Ця загроза настільки небезпечна, що експертам з безпеки довелося зібратися на місці, щоб дізнатися способи боротьби з нею та відключити приховування інформації.

Як працює стеганографія?

Наразі зрозуміло, чому кіберзлочинці використовують цей метод. Але як це працює?

Стеганографія — це п’ятикратний процес: кулачні зловмисники проводять повне дослідження своєї мети, після чого сканують її, отримують доступ, залишаються прихованими, закривають сліди.

publications.computer.org

Після запуску зловмисного програмного забезпечення на компрометованій машині завантажується шкідливий мем, зображення або відео. Після чого дана команда витягується. Якщо команда «друк» прихована в коді, робиться скріншот зараженої машини. Після збору всієї інформації вона надсилається хакеру за певною URL-адресою.

Останнім прикладом цього є захід CTF на Hacktober.org 2018 року, де TerrifyingKity було прикріплено до зображення. На додаток до цього також з'явилися Sundown Exploit Kit, нові сімейства шкідливих програм Vawtrack і Stegoloader.

Чим стеганографія відрізняється від криптографії?

В основному і стеганографія, і криптографія мають однакову мету, тобто приховування повідомлень і передача їх третім особам. Але механізм, який вони використовують, інший.

Криптографія перетворює інформацію на зашифрований текст, який неможливо зрозуміти без розшифрування. Хоча Steganography не змінює формат, вона приховує інформацію таким чином, що ніхто не знає, що дані приховані.

Простими словами, стеганографія сильніша і складніша. Він може легко обійти системи DPI тощо. Все це робить його першим вибором хакерів.

Залежно від характеру стеганографії можна розділити на п'ять типів:

• Стеганографія тексту – інформація, прихована в текстових файлах, у вигляді змінених символів, випадкових символів, безконтекстно-вільних граматик є текстовою стеганографією.
• Стеганографія зображення – приховування даних всередині зображення відоме як стеганографія зображення.
• Відеостеганографія – приховування даних у форматі цифрового відео є відеостеганографія.
• Аудіостеганографія – секретне повідомлення, вбудоване в звуковий сигнал, що змінює двійкову послідовність, є аудіостеганографія.
• Стеганографія мережі – як випливає з назви, техніка вбудовування інформації в протоколи управління мережею – це мережева стеганографія.

Де зловмисники приховують інформацію

• Цифрові файли. Широкомасштабні атаки, пов’язані з платформами електронної комерції, виявили використання стеганографії. Після зараження платформи зловмисне програмне забезпечення збирає платіжні дані та приховує їх у зображенні, щоб розкрити інформацію, пов’язану із зараженим сайтом. Видання законних програм – зловмисне програмне забезпечення імітує порнографічний програвач без правильної функціональності, що використовується для встановлення зараженої програми.
• Внутрішнє програмне забезпечення-вимагач – одним із найпопулярніших ідентифікованих шкідливих програм є програмне забезпечення-вимагач Cerber. Cerber використовує документ для поширення шкідливих програм.
• Всередині набору експлойтів – Stegano є першим прикладом набору експлойтів. Цей шкідливий код вбудований у банер.

Чи є спосіб визначити стеганографію? Так, є кілька способів визначити цю візуальну атаку.

Способи виявлення атак стеганографії

Метод гістограми – цей метод також відомий як метод хі-квадрат. За допомогою цього методу аналізується весь растр зображення. Зчитується кількість пікселів, що мають два сусідні кольори.

securelist.com

Рис А: Порожній носій Рис. В: Заповнений носій

RS Method – це ще один статистичний метод, який використовується для виявлення носіїв корисного навантаження. Зображення розбивається на набір груп пікселів і використовується спеціальна процедура заповнення. На основі значень аналізуються дані та визначається зображення зі стеганографією

Усе це чітко показує, наскільки спритно кіберзлочинці використовують стеганографію для передачі шкідливих програм. І це не зупиняється, тому що це дуже прибутково. Не тільки це, але стеганографія також використовується для поширення тероризму, відвертого вмісту, шпигунства тощо.