스테가노그래피: 악성코드를 퍼뜨리는 새로운 방법

우리는 제로데이 위협, 대중적인 악용, 치명적인 COVID-19 바이러스 와 싸울 준비를 하고 있습니다. 해커는 컴퓨터에 악성 코드를 전달하기 위해 새로운 기술을 발전 시키고 있습니다. 1499년에 도입되었지만 고대부터 존재했던 개념이 새로운 무기입니다. "스테가노그래피"라고 하는 이 새로운 기술은 데이터를 읽을 수 없도록 숨겨진 형식으로 전송하는 데 사용됩니다. 은폐하다, 감춰진다는 뜻의 그리스어(steganos)와 글을 뜻하는 'graphy'의 합성어로 위험한 새로운 트렌드가 되고 있다.

오늘 이 게시물에서 우리는 이 새로운 경계와 그로부터 보호를 유지하는 방법에 대해 논의할 것입니다.

스테가노그래피란?

이미 논의한 바와 같이 사이버 범죄자가 악성 코드 및 사이버 스파이 도구를 만드는 데 사용하는 새로운 방법입니다.

비밀 메시지의 내용을 위장하는 암호화와 달리 스테가노그래피는 메시지가 전송 중이거나 악성 페이로드 가 보안 솔루션을 피하기 위해 이미지 내부에 있다는 사실을 숨깁니다 .

이 방법은 로마제국에서 비밀리에 메시지를 전달하기 위해 사용되었다는 이야기가 있습니다. 그들은 메시지를 전달할 노예를 선택하고 두피를 깨끗하게 면도했습니다. 그렇게 하면 메시지를 피부에 문신으로 새겼고 머리카락이 다시 자라면 노예를 보내 메시지를 전달했습니다. 그런 다음 수신자는 머리를 면도하고 메시지를 읽기 위해 동일한 과정을 따릅니다.

이 위협은 너무 위험해서 보안 전문가가 한 곳에서 수집하여 이에 대처하고 정보 은닉을 비활성화하는 방법을 배워야 했습니다.

스테가노그래피는 어떻게 작동합니까?

이제 사이버 범죄자들이 이 방법을 사용하는 이유가 명확해 졌습니다. 그러나 이것은 어떻게 작동합니까?

스테가노그래피는 5단계 프로세스입니다. 주먹을 쥔 공격자는 대상에 대한 완전한 조사를 수행한 후 대상을 스캔하고, 액세스하고, 숨어 있고, 추적을 숨깁니다.

Publications.computer.org

감염된 시스템에서 악성 코드가 실행되면 악성 밈, 이미지 또는 비디오가 다운로드됩니다. 그 후 주어진 명령이 추출됩니다. 코드에 "인쇄" 명령이 숨겨져 있는 경우 감염된 시스템의 스크린샷이 찍힙니다. 모든 정보가 수집되면 특정 URL 주소를 통해 해커에게 전송됩니다.

이에 대한 최근의 예는 2018년 Hacktober.org CTF 이벤트에서 TerrifyingKity가 이미지에 첨부되었습니다. 이 외에도 Sundown Exploit Kit, 새로운 Vawtrack 및 Stegoloader 악성코드 제품군도 등장했습니다.

스테가노그래피는 암호화와 어떻게 다릅니까?

기본적으로 스테가노그래피와 암호화는 메시지를 숨기고 제3자에게 전달하는 동일한 목표를 가지고 있습니다. 그러나 그들이 사용하는 메커니즘은 다릅니다.

암호화는 해독 없이는 이해할 수 없는 암호문으로 정보를 변경합니다. 스테가노그래피는 형식을 변경하지 않지만 숨겨진 데이터가 있다는 것을 아무도 모르는 방식으로 정보를 숨깁니다.

간단히 말해서 스테가노그래피는 더 강력하고 더 복잡합니다. DPI 시스템 등을 쉽게 우회할 수 있어 해커의 첫 번째 선택이 됩니다.

스테가노그래피는 성격에 따라 5가지 유형으로 나눌 수 있습니다.

• 텍스트 스테가노 그래피 - 텍스트 파일에 숨겨진 정보, 변경된 문자, 임의의 문자, 컨텍스트 없는 문법의 형태는 텍스트 스테가노그래피입니다.
• 이미지 스테가노 그래피 – 이미지 내부에 데이터를 숨기는 것을 이미지 스테가노그래피라고 합니다.
• 비디오 스테가노 그래피 – 데이터를 디지털 비디오 형식으로 숨기는 것이 비디오 스테가노그래피입니다.
• 오디오 스테가노 그래피 – 이진 시퀀스를 변경하는 오디오 신호에 포함된 비밀 메시지는 오디오 스테가노그래피입니다.
• 네트워크 스테가노 그래피 – 이름에서 알 수 있듯이 네트워크 제어 프로토콜 내에 정보를 포함하는 기술은 네트워크 스테가노그래피입니다.

범죄자가 정보를 숨기는 곳

• 디지털 파일 – 전자 상거래 플랫폼과 관련된 대규모 공격에서 스테가노그래피의 사용이 공개되었습니다. 플랫폼이 감염된 site.Impersonating 합법적 인 프로그램과 관련된 정보를 공개 할 이미지 내에서 악성 코드를 수집 지불 세부 사항과 가죽을 감염되면 - 포르노 플레이어와 같은 악성 코드 모방을 올바르게 기능하지 않고 감염된 응용 프로그램을 설치에 사용 속여.
• 랜섬웨어 내부 – 가장 많이 확인된 악성코드 중 하나는 Cerber 랜섬웨어입니다. Cerber는 문서를 사용하여 멀웨어를 퍼뜨립니다.
• 익스플로잇 킷 내부 – Stegano는 익스플로잇 킷 의 첫 번째 예입니다. 이 악성 코드는 배너에 포함되어 있습니다.

스테가노그래피를 판별하는 방법이 있습니까? 예, 이 시각적 공격을 식별하는 몇 가지 방법이 있습니다.

스테가노그래피 공격을 탐지하는 방법

히스토그램 방법 – 이 방법은 카이제곱 방법이라고도 합니다. 이 방법을 사용하여 전체 이미지 래스터를 분석합니다. 인접한 두 색상을 포함하는 픽셀 수를 읽습니다.

시큐어리스트닷컴

그림 A: 빈 캐리어 그림 B: 채워진 캐리어

RS 방법 – 페이로드 캐리어를 감지하는 데 사용되는 또 다른 통계 방법입니다. 이미지는 일련의 픽셀 그룹으로 나뉘며 특별한 채우기 절차가 사용됩니다. 값을 기반으로 데이터를 분석하고 스테가노그래피가 있는 이미지를 식별합니다.

이 모든 것은 사이버 범죄자들이 얼마나 교묘하게 스테가노그래피를 사용하여 멀웨어를 유포하는지 보여줍니다. 그리고 이것은 매우 수익성이 높기 때문에 멈추지 않을 것입니다. 뿐만 아니라 스테가노그래피는 테러, 노골적인 내용, 간첩 등을 퍼뜨리는 데에도 사용됩니다.