Esteganografia: uma nova maneira de espalhar malware

Enquanto nos preparamos para lutar contra ameaças de dia zero, exploits populares, o vírus COVID-19 mortal . Os hackers estão desenvolvendo novas técnicas para transmitir o malwar e às suas máquinas. Um conceito introduzido em 1499, mas existente desde os tempos antigos, é a nova arma. Chama-se “esteganografia”, esta nova técnica é usada para enviar dados em formato oculto para que não possam ser lidos. Uma combinação da palavra grega (steganos) que significa oculto, escondido e "graficamente", que significa escrita, está se tornando uma nova tendência perigosa.

Hoje, neste post, vamos discutir essa nova fronteira e como ficar protegido dela.

O que é esteganografia?

Como já discutido, é um novo método usado por cibercriminosos para criar malware e ferramentas de espionagem cibernética.

Ao contrário da criptografia, que disfarça o conteúdo de uma mensagem secreta, a esteganografia oculta o fato de que uma mensagem está sendo transmitida ou que uma carga maliciosa está dentro da imagem para evitar soluções de segurança.

Há histórias de que esse método foi usado no Império Romano para passar a mensagem secretamente. Eles costumavam selecionar um escravo para transmitir a mensagem e tinham seu couro cabeludo raspado e limpo. Ao fazer isso, a mensagem era tatuada na pele e, assim que o cabelo crescia, a escrava era enviada para passar a mensagem. O receptor costumava seguir o mesmo processo para raspar a cabeça e ler a mensagem.

Essa ameaça é tão perigosa que os especialistas em segurança tiveram que se reunir em um local para aprender maneiras de combatê-la e desabilitar a ocultação de informações.

Como funciona a esteganografia?

Agora está claro por que os cibercriminosos usam esse método. Mas como isto funciona?

A esteganografia é um processo quíntuplo - os primeiros atacantes fazem uma pesquisa completa para o seu alvo, depois disso, eles o escaneiam, obtêm acesso, ficam ocultos e cobrem seus rastros.

publicações.computer.org

Depois que o malware é executado na máquina comprometida, um meme, imagem ou vídeo malicioso é baixado. Após o qual o comando fornecido é extraído. Caso o comando “imprimir” esteja oculto no código, uma captura de tela da máquina infectada é obtida. Depois que todas as informações são coletadas, elas são enviadas ao hacker por meio de um endereço URL específico.

Um exemplo recente disso vem do evento Hacktober.org CTF 2018, onde TerrifyingKity foi anexado a uma imagem. Além disso, o Sundown Exploit Kit e as novas famílias de malware Vawtrack e Stegoloader também surgiram.

Como a esteganografia é diferente da criptografia?

Principalmente, tanto a esteganografia quanto a criptografia têm o mesmo objetivo, ou seja, ocultar mensagens e transmiti-las a terceiros. Mas o mecanismo usado por eles é diferente.

A criptografia altera as informações para um texto cifrado que não pode ser compreendido sem descriptografia. Embora a esteganografia não mude o formato, ela oculta as informações de uma maneira que ninguém sabe que há dados ocultos.

Em palavras simples, a esteganografia é mais forte e mais complexa. Ele pode facilmente ignorar os sistemas DPI, etc, tudo isso o torna a primeira escolha dos hackers.

Dependendo da natureza, a esteganografia pode ser dividida em cinco tipos:

• Esteganografia de texto - Informações ocultas em arquivos de texto, na forma de caracteres alterados, caracteres aleatórios, gramáticas livres de contexto são esteganografia de texto.
• Esteganografia de imagem - Ocultar dados dentro da imagem é conhecido como esteganografia de imagem.
• Esteganografia de vídeo - ocultar dados em formato de vídeo digital é a esteganografia de vídeo.
• Esteganografia de áudio - A mensagem secreta embutida em um sinal de áudio que altera a sequência binária é a esteganografia de áudio.
• Esteganografia de rede - como o nome indica, a técnica de embutir informações em protocolos de controle de rede é esteganografia de rede.

Onde os criminosos escondem informações

• Arquivos digitais - Ataques em larga escala relacionados a plataformas de e-commerce divulgam o uso de esteganografia. Uma vez que a plataforma é infectada, o malware coleta detalhes de pagamento e os oculta dentro da imagem para revelar informações relacionadas ao site infectado. Imitando programas legítimos - O malware imita um reprodutor de pornografia sem truque funcional correto usado para instalar o aplicativo infectado.
• Inside ransomware - Um dos malwares identificados mais populares é o Cerber ransomware. Cerber usa um documento para espalhar malware.
• Dentro de um kit de exploração - Stegano é o primeiro exemplo de kit de exploração. Este código malicioso está embutido em um banner.

Existe uma maneira de determinar a esteganografia? Sim, existem várias maneiras de identificar esse ataque visual.

Maneiras de detectar ataques de esteganografia

Método do histograma - Este método também é conhecido como método do qui-quadrado. Usando este método, todo o raster da imagem é analisado. O número de pixels que possuem duas cores adjacentes é lido.

securelist.com

Fig A: Um transportador vazio Fig B: Transportador Cheio

Método RS - Este é outro método estatístico usado para detectar portadores de carga útil. A imagem é dividida em um conjunto de grupos de pixels e um procedimento especial de preenchimento é usado. Com base nos valores, os dados são analisados ​​e uma imagem com esteganografia é identificada

Tudo isso mostra claramente como os cibercriminosos estão usando a esteganografia para transmitir malware. E isso não vai parar porque é muito lucrativo. Além disso, a esteganografia também é usada para espalhar terrorismo, conteúdo explícito, espionagem, etc.