Стеганография: новый способ распространения вредоносного ПО

Пока мы готовимся к борьбе с угрозами нулевого дня, популярными эксплойтами, смертельным вирусом COVID-19 . Хакеры разрабатывают новые методы передачи вредоносного ПО на ваши машины. Концепция нового оружия появилась в 1499 году, но существовала с древних времен. Это называется «стеганография». Этот новый метод используется для отправки данных в скрытом формате, чтобы их нельзя было прочитать. Сочетание греческого слова (steganos), означающего «скрытый», «скрытый», и «графическое», означающего письмо, становится новой опасной тенденцией.

Сегодня в этом посте мы обсудим этот новый рубеж и как от него защититься.

Что такое стеганография?

Как уже говорилось, это новый метод, используемый киберпреступниками для создания вредоносных программ и инструментов кибершпионажа.

В отличие от криптографии, которая скрывает содержимое секретного сообщения, стеганография скрывает тот факт, что сообщение передается или внутри изображения находится вредоносная полезная нагрузка, чтобы избежать решений безопасности.

Есть истории, что этот метод использовался в Римской империи для тайной передачи сообщения. Раньше они выбирали раба, чтобы передать сообщение, и ему чисто сбривали кожу головы. После этого сообщение было вытатуировано на коже, и как только волосы отросли, раба отправили передать сообщение. Затем получатель использовал тот же процесс, чтобы побрить голову и прочитать сообщение.

Эта угроза настолько опасна, что специалистам по безопасности пришлось собираться в каком-то месте, чтобы узнать, как с ней бороться и отключить сокрытие информации.

Как работает стеганография?

Теперь понятно, почему злоумышленники используют этот метод. Но как это работает?

Стеганография - это пятиступенчатый процесс: первые атакующие проводят полное исследование своей цели, после чего они сканируют ее, получают доступ, остаются скрытыми, заметают следы.

публикации.computer.org

Как только вредоносная программа запускается на скомпрометированной машине, загружается вредоносный мем, изображение или видео. После чего данная команда извлекается. Если в коде скрыта команда «печать», делается снимок экрана зараженной машины. Как только вся информация собрана, она отправляется хакеру через определенный URL-адрес.

Недавний пример этого - событие CTF Hacktober.org 2018 года, когда TerrifyingKity был прикреплен к изображению. В дополнение к этому также появились Sundown Exploit Kit, новые семейства вредоносных программ Vawtrack и Stegoloader.

Чем стеганография отличается от криптографии?

В принципе, и стеганография, и криптография преследуют одну и ту же цель - скрыть сообщения и передать их третьим лицам. Но используемый ими механизм другой.

Криптография преобразует информацию в зашифрованный текст, который невозможно понять без дешифрования. Хотя стеганография не меняет формат, она скрывает информацию таким образом, что никто не знает, что данные скрыты.

Проще говоря, стеганография сильнее и сложнее. Он может легко обходить системы DPI и т. Д., Все это делает его первым выбором хакеров.

В зависимости от характера стеганографии можно разделить на пять типов:

• Текстовая стеганография - информация, скрытая в текстовых файлах, в виде измененных символов, случайных символов, контекстно-свободных грамматик представляет собой текстовую стеганографию.
• Стеганография изображения. Скрытие данных внутри изображения называется стеганографией изображения.
• Видеостеганография - сокрытие данных в формате цифрового видео - это видеостеганография.
• Аудиостеганография . Секретное сообщение, встроенное в аудиосигнал, изменяющее двоичную последовательность, - это аудиостеганография.
• Сетевая стеганография - как следует из названия, метод встраивания информации в протоколы управления сетью - это сетевая стеганография.

Где преступники скрывают информацию

• Цифровые файлы. Крупномасштабные атаки, связанные с платформами электронной коммерции, раскрыли использование стеганографии. После заражения платформы вредоносное ПО собирает платежные реквизиты и скрывает их в изображении, чтобы раскрыть информацию, связанную с зараженным сайтом. Выдача себя за легитимные программы - вредоносная программа имитирует проигрыватель порнографии без использования правильных функций для установки зараженного приложения.
• Внутри программы-вымогателя. Одним из самых популярных выявленных вредоносных программ является программа-вымогатель Cerber. Cerber использует документ для распространения вредоносного ПО.
• Внутри эксплойт-кита - Stegano - первый пример эксплойт-кита. Этот вредоносный код встроен в баннер.

Есть ли способ определить стеганографию? Да, есть несколько способов определить эту визуальную атаку.

Способы обнаружения стеганографических атак

Метод гистограммы - этот метод также известен как метод хи-квадрат. С помощью этого метода анализируется весь растр изображения. Считывается количество пикселей, обладающих двумя соседними цветами.

securelist.com

Рис. A: Пустой контейнер Рис. B: Заполненный контейнер.

Метод RS - это еще один статистический метод, который используется для обнаружения несущих полезной нагрузки. Изображение разбивается на набор групп пикселей и используется специальная процедура заполнения. На основе значений данные анализируются и идентифицируется изображение со стеганографией.

Все это наглядно показывает, насколько ловко киберпреступники используют стеганографию для передачи вредоносных программ. И на этом останавливаться не будем, потому что это очень прибыльно. Не только это, но и стеганография также используется для распространения терроризма, откровенного контента, шпионажа и т. Д.