Tehnica prin care hackerii ascund viruși chiar în fața ta

Dan Demeter
Dan Demeter
05.09.2017

Dacă n-ai auzit niciodată de steganografie, e timpul să înveți ce înseamnă, dar mai ales ce probleme îți pot crea hackerii prin ea în lumea digitală. 

Infractorii cibernetici de „elită” sau grupările APT (Advanced Persistent Threat) au actualizat o metodă veche de-a ascunde mesaje într-unele banale și folosesc versiunea digitală în campanii de spionaj. Termenul „steganografie” provine din limba greacă și a fost format prin alăturarea a două cuvinte: „steganos” (ascuns) și „graphein” (scris). Cu ajutorul ei, pot fi extrase informații de valoare, programele malware pot comunica cu serverul de comandă și control sau se pot ascunde în noi programe malware.

Mai nou, steganografia, prin care poți ascunde un mesaj sau o imagine într-un alt mesaj sau într-o altă imagine, a început să fie preluată și de infractorii cibernetici „obișnuiți”.

De ce steganografia a ajuns preferată de hackeri

Adevărata problemă este că steganografia nu poate fi detectată eficient de nimeni, în prezent. În teorie, există câțiva algoritmi care ar putea să identifice automat și în timp real această metodă. În practică, dacă s-ar ajunge la atacuri în masă bazate pe această tehnică, ar fi nevoie de prea multă putere de calcul, care ar face mult prea mari costurile necesare pentru implementare.

Când pătrund în rețeaua vizată pentru a extrage informați, este aproape imposibil ca acest proces să nu lase urme ale conectării la IP-uri necunoscute sau chiar aflate într-un blacklist. Însă, atunci când intră în scenă steganografia, este mult mai greu să identifici informațiile sustrase. Practic, autorii unui astfel de atac inserează datele care îi interesează în codul unei imagini banale sau al unui fișier video, acestea urmând să fie trimise la serverul de comandă și control, fără să atragă atenția sistemelor de securitate.

Imaginea nu prezintă nicio schimbare din punct de vedere al aspectului sau al dimensiunii, de aceea sunt șanse mari ca acest transfer de date să treacă neobservat.

Colegi din echipa noastră de cercetare au găsit, în ultimul timp, mai multe grupări de spionaj cibernetic, dar și infractori „de rând”, care folosesc această tehnică pentru a ascunde troieni ca ZeusVM, Shamoon, Triton sau Zerp. Preluarea de către infractorii cibernetici a unor tehnici folosite inițial de grupările APT nu este ceva neobișnuit.

Cum poate fi identificat un virus ascuns prin această tehnică

Analiza manuală permite identificarea unei imagini care ascunde alte date, dar timpul de lucru pe care specialiștii umani îl pot dedica acestei activități este limitat, prin urmare au nevoie și de suport automatizat. În prezent, tehnologia de detecție a programelor de steganografie este în stadiu experimental, funcționează prea încet și, uneori, conține erori. Prin urmare, mai este de lucru până în momentul identificării unor soluții viabile din punct de vedere al detecției și al costurilor.

Printre metodele statistice de analiză a steganografiei se numără metoda RS (Regular/Singular), propusă de Jessica Fridrich, Andreas Pfitzmann și Miroslav Goljan în 2001. În cadrul acesteia, imaginea este împărțită într-un set de grupuri de pixeli, rezultând grupuri obișnuite, rare și neobișnuite. O altă metodă îi aparține lui Andreas Westfeld and Andreas Pfitzmann: metoda bazată pe histogramă. Imaginea este analizată, iar pentru fiecare culoare, sunt numărate punctele care conțin acea culoare.

Concluzia este că steganografia a intrat în atenția grupărilor APT. Acum, industria de securitate cibernetică trebuie să găsească repede o soluție convenabilă, care să poată fi folosită la scară largă, în cazul în care metoda va deveni populară printre infractorii cibernetici.

Comentarii