Esteganografía: una nueva forma de propagar malware

Mientras nos preparamos para luchar contra las amenazas de día cero, los exploits populares y el mortal virus COVID-19 . Los piratas informáticos están desarrollando nuevas técnicas para transmitir la maldad en sus máquinas. Un concepto introducido en 1499 pero que existía desde la antigüedad es la nueva arma. Se llama "esteganografía", esta nueva técnica se utiliza para enviar datos en un formato oculto para que no se puedan leer. Una combinación de la palabra griega (steganos) que significa oculto, oculto y "grafía" que significa escritura se está convirtiendo en una nueva tendencia peligrosa.

Hoy, en este artículo, hablaremos de esta nueva frontera y de cómo protegerse de ella.

¿Qué es la esteganografía?

Como ya se ha comentado, es un nuevo método utilizado por los ciberdelincuentes para crear malware y herramientas de ciberespionaje.

A diferencia de la criptografía, que oculta el contenido de un mensaje secreto, la esteganografía oculta el hecho de que se está transmitiendo un mensaje o que hay una carga útil maliciosa dentro de la imagen para esquivar las soluciones de seguridad.

Hay historias de que este método se utilizó en el Imperio Romano para transmitir el mensaje en secreto. Solían seleccionar a un esclavo para transmitir el mensaje y le afeitaban el cuero cabelludo. Al hacerlo, el mensaje se tatuó en la piel y una vez que el cabello volvió a crecer, el esclavo fue enviado a transmitir el mensaje. El receptor solía seguir el mismo proceso para afeitarse la cabeza y leer el mensaje.

Esta amenaza es tan peligrosa que los expertos en seguridad tuvieron que recolectar en un lugar para aprender formas de combatirla y deshabilitar el ocultamiento de información.

¿Cómo funciona la esteganografía?

A estas alturas, está claro por qué los ciberdelincuentes utilizan este método. Pero, ¿cómo funciona esto?

La esteganografía es un proceso de cinco partes: los primeros atacantes hacen una investigación completa para su objetivo, después de esto lo escanean, obtienen acceso, permanecen ocultos, cubren sus huellas.

publicaciones.computer.org

Una vez que el malware se ejecuta en la máquina comprometida, se descarga un meme, una imagen o un video maliciosos. Después de lo cual se extrae el comando dado. En caso de que el comando "imprimir" esté oculto en el código, se tomará una captura de pantalla de la máquina infectada. Una vez que se recopila toda la información, se envía al pirata informático a través de una dirección URL específica.

Un ejemplo reciente de esto proviene del evento CTF de Hacktober.org de 2018 donde se adjuntó TerrifyingKity en una imagen. Además de esto, también surgieron Sundown Exploit Kit, nuevas familias de malware Vawtrack y Stegoloader.

¿En qué se diferencia la esteganografía de la criptografía?

Básicamente, tanto la esteganografía como la criptografía tienen el mismo objetivo, es decir, ocultar mensajes y transmitirlos a terceros. Pero el mecanismo utilizado por ellos es diferente.

La criptografía altera la información a un texto cifrado que no se puede entender sin descifrar. Si bien la esteganografía no cambia el formato, oculta la información de una manera que nadie sabe que hay datos ocultos.

En palabras simples, la esteganografía es más fuerte y más compleja. Puede eludir fácilmente los sistemas DPI, etc., todo esto lo convierte en la primera opción de los piratas informáticos.

Dependiendo de la naturaleza, la esteganografía se puede dividir en cinco tipos:

• Esteganografía de texto: la información oculta en archivos de texto, en forma de caracteres modificados, caracteres aleatorios, gramáticas libres de contexto, es esteganografía de texto.
• Esteganografía de imagen: ocultar datos dentro de la imagen se conoce como esteganografía de imagen.
• Esteganografía de video: ocultar datos en formato de video digital es esteganografía de video.
• Esteganografía de audio: el mensaje secreto incrustado en una señal de audio que altera la secuencia binaria es la esteganografía de audio.
• Esteganografía de red: como su nombre lo indica, la técnica de incrustar información dentro de los protocolos de control de red es la esteganografía de red.

Donde los delincuentes ocultan información

• Archivos digitales: los ataques a gran escala relacionados con las plataformas de comercio electrónico revelaron el uso de esteganografía. Una vez que la plataforma está infectada, el malware recopila los detalles de pago y los oculta dentro de la imagen para revelar información relacionada con el sitio infectado. Suplantación de programas legítimos: el malware se imita como un reproductor de pornografía sin la funcionalidad correcta que se utiliza para instalar la aplicación infectada.
• Inside ransomware: uno de los programas maliciosos identificados más populares es Cerber ransomware. Cerber usa un documento para difundir malware.
• Dentro de un kit de exploits: Stegano es el primer ejemplo del kit de exploits. Este código malicioso está incrustado en un banner.

¿Hay alguna forma de determinar la esteganografía? Sí, hay varias formas de identificar este ataque visual.

Formas de detectar ataques de esteganografía

Método de histograma: este método también se conoce como el método de chi-cuadrado. Con este método se analiza todo el ráster de la imagen. Se lee el número de píxeles que poseen dos colores adyacentes.

securelist.com

Fig A: Un portador vacío Fig B: Portador lleno

Método RS: este es otro método estadístico que se utiliza para detectar portadores de carga útil. La imagen se divide en un conjunto de grupos de píxeles y se utiliza un procedimiento de relleno especial. En base a los valores se analizan los datos y se identifica una imagen con esteganografía

Todo esto muestra claramente cuán hábilmente los ciberdelincuentes están utilizando la esteganografía para transmitir malware. Y esto no va a parar porque es muy lucrativo. No solo esto, sino que la esteganografía también se utiliza para difundir terrorismo, contenido explícito, espionaje, etc.