Her er hvordan hackere bruger steganografi i cyberangreb

Steganography

Du har alle hørt rådene om, at du aldrig skal åbne vedhæftede e-mails, medmindre du ved, hvor de kommer fra, og vi vil ikke blive overrasket, hvis nogle af jer finder det lidt mærkeligt. Når alt kommer til alt ved du, at for at få din computer kompromitteret, skal nogle kode udføres, og du ved, at koden udføres af eksekverbare filer. I lyset af dette kan du måske tro, at en ydmyg JPG-fil f.eks. Ikke kan skade dig. Du ville have forkert.

Hvad er steganografi?

Udtrykket steganografi stammer fra de græske ord for "skjul" og "skrivning", og det betyder bogstaveligt at skjule information i ikke-hemmelige data. Når det kommer til cybersikkerhed, refererer steganography til handlingen med at indlejre ondsindet kode i tilsyneladende godartede filer.

Hackere kan integrere malware i næsten enhver type fil, du har lyst til at forestille dig, inklusive billeder og videoer. Med det er de ikke kun mere tilbøjelige til at narre offeret, men de er også i et bedre skud med at undgå alle sikkerhedsprodukter, der måtte være installeret på computeren.

Det er ikke en ny teknik. Faktisk mynte eksperter udtrykket "stegware" i 2017 som et kollektiv til cyberangreb ved hjælp af ondsindet kode indlejret i billeder og andre mediefiler, men det er sikkert at sige, at så smart og så effektiv som det er, steganografi ikke er noget hackerne bruger især ofte. Dette skyldes hovedsageligt at skjule ondsindet kode i godartede filer ikke er let og kræver et niveau af raffinement, som de fleste cyberkriminelle simpelthen ikke har.

Steganografi i virkelighedens angreb

Når det er sagt, er steganografi ikke kun en teori. I årenes løb har der været et par angreb, der har brugt teknikken, og den seneste blev opdaget sidste måned af forskere fra Kaspersky.

Kampagnen er rettet mod industrielle virksomheder i Storbritannien, Tyskland, Japan og Italien, og i sidste ende distribuerer den et værktøj kaldet Mimikatz, som stjæler Windows-loginoplysninger. Mest sandsynligt er målet at bruge de pilferede oplysninger til at bevæge sig lateralt inden for det kompromitterede netværk og forårsage mere skade. Før de kan gøre det, skal skurkerne imidlertid smugle Mimikatz på systemet, og det gør de ved hjælp af steganografi.

Angrebet starter med en omhyggeligt udformet e-mail og en Excel-fil knyttet til den. Eksperterne påpegede, at meddelelserne tilpasses til hvert mål, hvilket viser at angribere ikke er interesseret i at ramme tilfældige mennesker eller organisationer.

Den åbnede Excel-fil beder offeret om at klikke på knappen "Aktivér indhold", og hvis brugeren overholder, kører det ondsindede regneark de integrerede makroinstruktioner, som igen åbner et skjult PowerShell-vindue og indlæser et script.

Malware downloader derefter en uskyldig PNG-fil fra et billeddelingswebsted som Imgur eller ImgBox. Der er intet ved billedet, der kan rejse mistanke, og fordi det er hentet fra en helt legitim ressource, er det usandsynligt, at det udløser nogen sikkerhedsadvarsler.

I virkeligheden indeholder billedfilen imidlertid et andet PowerShell-script, der er Base64-kodet og krypteret. Malwaren trækker ud scriptet fra PNG-filen, dekrypterer og afkoder det og kører det i et andet PowerShell-vindue. Dets formål er at downloade og installere Mimikatz stealer.

Det er endnu ikke klart, hvem der sidder bag det angreb, der er beskrevet af Kaspersky, men det er indlysende, at uanset hvad de er, de ved, hvad de laver. Vi kan kun håbe, at få cyberkriminelle er så kloge og sofistikerede som disse hackere er.

June 3, 2020

Efterlad et Svar