So verwenden Hacker Steganografie bei Cyber-Angriffen

Steganography

Sie haben alle den Rat gehört, dass Sie E-Mail-Anhänge niemals öffnen sollten, es sei denn, Sie wissen, woher sie kommen, und wir werden uns nicht wundern, wenn einige von Ihnen dies etwas seltsam finden. Schließlich wissen Sie, dass Code ausgeführt werden muss, damit Ihr Computer kompromittiert wird, und Sie wissen, dass Code von ausführbaren Dateien ausgeführt wird. In Anbetracht dessen könnten Sie denken, dass eine bescheidene JPG-Datei Ihnen beispielsweise keinen Schaden zufügen kann. Du würdest dich irren.

Was ist Steganographie?

Der Begriff Steganographie kommt von den griechischen Wörtern für "verbergen" und "schreiben" und bedeutet wörtlich, Informationen in nicht geheimen Daten zu verstecken. Wenn es um Cybersicherheit geht, bezieht sich Steganographie auf das Einbetten von Schadcode in scheinbar harmlose Dateien.

Hacker können Malware in nahezu jede Art von Datei einbetten, die Sie sich vorstellen möchten, einschließlich Bilder und Videos. Damit täuschen sie das Opfer nicht nur mit größerer Wahrscheinlichkeit, sondern können auch Sicherheitsprodukten, die möglicherweise auf dem Computer installiert sind, besser ausweichen.

Es ist keine neue Technik. Tatsächlich haben Experten 2017 den Begriff "Stegware" als Kollektiv für Cyberangriffe mit bösartigem Code geprägt, der in Bilder und andere Mediendateien eingebettet ist. Man kann jedoch mit Sicherheit sagen, dass Steganografie nicht so clever und effektiv ist wie Hacker besonders oft verwenden. Dies liegt hauptsächlich daran, dass das Verstecken von Schadcode in gutartig aussehenden Dateien nicht einfach ist und ein Maß an Raffinesse erfordert, das die meisten Cyberkriminellen einfach nicht besitzen.

Steganographie bei realen Angriffen

Steganographie ist jedoch nicht nur eine Theorie. Im Laufe der Jahre gab es einige Angriffe, bei denen diese Technik angewendet wurde, und der letzte wurde letzten Monat von Forschern von Kaspersky entdeckt.

Die Kampagne richtet sich an Industrieunternehmen in Großbritannien, Deutschland, Japan und Italien und vertreibt schließlich ein Tool namens Mimikatz, das Windows-Anmeldeinformationen stiehlt. Höchstwahrscheinlich besteht das Ziel darin, die gestohlenen Informationen zu verwenden, um sich seitlich innerhalb des gefährdeten Netzwerks zu bewegen und mehr Schaden zu verursachen. Bevor sie das tun können, müssen die Gauner jedoch Mimikatz auf das System schmuggeln, und das tun sie mithilfe der Steganographie.

Der Angriff beginnt mit einer sorgfältig gestalteten E-Mail und einer daran angehängten Excel-Datei. Die Experten wiesen darauf hin, dass die Nachrichten für jedes Ziel angepasst sind, was zeigt, dass die Angreifer nicht daran interessiert sind, zufällige Personen oder Organisationen zu treffen.

In der geöffneten Excel-Datei wird das Opfer aufgefordert, auf die Schaltfläche "Inhalt aktivieren" zu klicken. Wenn der Benutzer die Anforderungen erfüllt, werden in der böswilligen Tabelle die eingebetteten Makroanweisungen ausgeführt, die wiederum ein verstecktes PowerShell-Fenster öffnen und ein Skript laden.

Die Malware lädt dann eine unschuldig aussehende PNG-Datei von einer Image-Sharing-Website wie Imgur oder ImgBox herunter. Es gibt nichts an dem Bild, was Verdacht erregen könnte, und da es von einer völlig legitimen Ressource heruntergeladen wurde, ist es unwahrscheinlich, dass Sicherheitswarnungen ausgelöst werden.

In Wirklichkeit enthält die Image-Datei jedoch ein zweites PowerShell-Skript, das Base64-codiert und verschlüsselt ist. Die Malware extrahiert das Skript aus der PNG-Datei, entschlüsselt und dekodiert es und führt es in einem zweiten PowerShell-Fenster aus. Der Zweck besteht darin, den Mimikatz-Stealer herunterzuladen und zu installieren.

Es ist noch nicht klar, wer hinter dem von Kaspersky beschriebenen Angriff steckt, aber es ist offensichtlich, dass jeder, der sie sind, weiß, was sie tun. Wir können nur hoffen, dass nur wenige Cyberkriminelle so klug und raffiniert sind wie diese Hacker.

June 3, 2020

Antworten