Steganografia: un nuovo modo per diffondere malware

Mentre ci prepariamo a combattere le minacce zero-day, gli exploit popolari, il micidiale virus COVID-19 . Gli hacker stanno sviluppando nuove tecniche per trasmettere il malware alle tue macchine. Un concetto introdotto nel 1499 ma esistente fin dall'antichità è la nuova arma. Si chiama “steganografia questa nuova tecnica viene utilizzata per inviare dati in un formato nascosto in modo che non possano essere letti. Una combinazione della parola greca (steganos) che significa nascosto, nascosto e 'grafia' che significa scrittura sta diventando una nuova pericolosa tendenza.

Oggi in questo post parleremo di questa nuova frontiera e di come proteggersi da essa.

Cos'è la steganografia?

Come già discusso, è un nuovo metodo utilizzato dai criminali informatici per creare malware e strumenti di spionaggio informatico.

A differenza della crittografia, che nasconde il contenuto di un messaggio segreto, la steganografia nasconde il fatto che un messaggio viene trasmesso o che un payload dannoso si trova all'interno dell'immagine per eludere le soluzioni di sicurezza.

Ci sono storie che questo metodo è stato utilizzato nell'Impero Romano per trasmettere il messaggio in segreto. Sceglievano uno schiavo per trasmettere il messaggio e gli facevano rasare il cuoio capelluto. Dopo averlo fatto, il messaggio è stato tatuato sulla pelle e una volta che i capelli sono ricresciuti, lo schiavo è stato inviato a trasmettere il messaggio. Il destinatario seguiva quindi lo stesso processo per radersi la testa e leggere il messaggio.

Questa minaccia è così pericolosa che gli esperti di sicurezza hanno dovuto radunarsi in un luogo per imparare a combatterla e disabilitare l'occultamento delle informazioni.

Come funziona la steganografia?

Ormai è chiaro perché i criminali informatici utilizzino questo metodo. Ma come funziona?

La steganografia è un processo in cinque fasi: gli aggressori completano la ricerca per il loro obiettivo, dopodiché lo scansionano, ottengono l'accesso, rimangono nascosti, coprono le loro tracce.

pubblicazioni.computer.org

Una volta che il malware viene eseguito sulla macchina compromessa, viene scaricato un meme, un'immagine o un video dannoso. Dopo di che viene estratto il comando dato. Nel caso in cui il comando "stampa" sia nascosto nel codice, viene acquisita una schermata della macchina infetta. Una volta raccolte tutte le informazioni, queste vengono inviate all'hacker tramite un indirizzo URL specifico.

Un esempio recente di ciò viene dall'evento Hacktober.org CTF del 2018 in cui TerrifyingKity è stato allegato in un'immagine. Oltre a questo, sono emerse anche Sundown Exploit Kit, nuove famiglie di malware Vawtrack e Stegoloader.

In che modo la steganografia è diversa dalla crittografia?

Principalmente sia la steganografia che la crittografia hanno lo stesso obiettivo, ovvero nascondere i messaggi e trasmetterli a terzi. Ma il meccanismo utilizzato da loro è diverso.

La crittografia altera le informazioni in un testo cifrato che non può essere compreso senza la decrittazione. Sebbene la steganografia non cambi il formato, nasconde le informazioni in modo che nessuno sappia che ci sono dati nascosti.

In parole semplici, la steganografia è più forte e più complessa. Può facilmente bypassare i sistemi DPI, ecc. Tutto ciò lo rende la prima scelta degli hacker.

A seconda della natura, la steganografia può essere suddivisa in cinque tipi:

• Steganografia del testo: le informazioni nascoste nei file di testo, sotto forma di caratteri modificati, caratteri casuali, grammatiche senza contesto sono steganografia del testo.
• Steganografia dell'immagine: nascondere i dati all'interno dell'immagine è nota come steganografia dell'immagine.
• Steganografia video: nascondere i dati nel formato video digitale è la steganografia video.
• Steganografia audio: il messaggio segreto incorporato in un segnale audio che altera la sequenza binaria è la steganografia audio.
• Steganografia di rete: come suggerisce il nome, la tecnica di incorporare le informazioni all'interno dei protocolli di controllo della rete è la steganografia di rete.

Dove i criminali nascondono informazioni

• File digitali – Attacchi su larga scala relativi alle piattaforme di e-commerce hanno rivelato l'uso della steganografia. Una volta che la piattaforma è stata infettata, il malware raccoglie i dettagli di pagamento e li nasconde all'interno dell'immagine per rivelare informazioni relative al sito infetto. Impersonificazione di programmi legittimi: il malware imita un riproduttore di pornografia senza la corretta funzionalità che viene utilizzata nell'installazione dell'applicazione infetta.
• Dentro il ransomware – Uno dei malware identificati più popolari è il ransomware Cerber. Cerber utilizza un documento per diffondere malware.
• All'interno di un exploit kit – Stegano è il primo esempio di exploit kit. Questo codice dannoso è incorporato in un banner.

C'è un modo per determinare la steganografia? Sì, ci sono diversi modi per identificare questo attacco visivo.

Modi per rilevare gli attacchi di steganografia

Metodo dell'istogramma: questo metodo è noto anche come metodo del chi quadrato. Utilizzando questo metodo viene analizzata l'intera immagine raster. Viene letto il numero di pixel che possiedono due colori adiacenti.

securelist.com

Fig A: Un vettore vuoto Fig B: Un vettore pieno

Metodo RS: questo è un altro metodo statistico utilizzato per rilevare i vettori di carico utile. L'immagine è divisa in un insieme di gruppi di pixel e viene utilizzata una procedura di riempimento speciale. Sulla base dei valori si analizzano i dati e si identifica un'immagine con steganografia

Tutto ciò mostra chiaramente quanto abilmente i criminali informatici utilizzino la steganografia per trasmettere malware. E questo non si fermerà perché è molto redditizio. Non solo, ma la steganografia viene anche utilizzata per diffondere terrorismo, contenuti espliciti, spionaggio, ecc.