Δείτε πώς οι χάκερ χρησιμοποιούν το Steganography σε Cyber Attacks
Όλοι έχετε ακούσει τη συμβουλή ότι δεν πρέπει ποτέ να ανοίγετε συνημμένα μηνύματα ηλεκτρονικού ταχυδρομείου εκτός εάν γνωρίζετε από πού προέρχονται και δεν θα εκπλαγούμε αν κάποιοι από εσάς το θεωρούν λίγο περίεργο. Εξάλλου, γνωρίζετε ότι για να παραβιαστεί ο υπολογιστής σας, πρέπει να εκτελεστεί κάποιος κωδικός και γνωρίζετε ότι ο κώδικας εκτελείται από εκτελέσιμα αρχεία. Υπό το πρίσμα αυτό, μπορεί να πιστεύετε ότι ένα ταπεινό αρχείο JPG, για παράδειγμα, δεν μπορεί να σας κάνει κακό. Θα κάνατε λάθος.
Τι είναι η στιγογραφία;
Ο όρος steganography προέρχεται από τις ελληνικές λέξεις για «απόκρυψη» και «γραφή», και κυριολεκτικά σημαίνει απόκρυψη πληροφοριών σε μη μυστικά δεδομένα. Όσον αφορά την ασφάλεια στον κυβερνοχώρο, η στιγογραφία αναφέρεται στην πράξη ενσωμάτωσης κακόβουλου κώδικα σε φαινομενικά καλοήθη αρχεία.
Οι χάκερ μπορούν να ενσωματώσουν κακόβουλο λογισμικό σε οποιονδήποτε τύπο αρχείου θέλετε να φανταστείτε, συμπεριλαμβανομένων εικόνων και βίντεο. Με αυτό, δεν είναι μόνο πιο πιθανό να ξεγελάσουν το θύμα, αλλά και με μια καλύτερη προσπάθεια αποφυγής τυχόν προϊόντων ασφαλείας που ενδέχεται να εγκατασταθούν στον υπολογιστή.
Δεν είναι μια νέα τεχνική. Στην πραγματικότητα, το 2017, οι ειδικοί επινόησαν τον όρο "stegware" ως συλλογικό για κυβερνοεπιθέσεις χρησιμοποιώντας κακόβουλο κώδικα ενσωματωμένο σε εικόνες και άλλα αρχεία πολυμέσων, αλλά είναι ασφαλές να πούμε ότι όσο έξυπνο και αποτελεσματικότερο είναι, η στιγογραφία δεν είναι κάτι που οι χάκερ χρήση ιδιαίτερα συχνά. Αυτό οφείλεται κυρίως στο ότι η απόκρυψη κακόβουλου κώδικα σε καλοήθη αρχεία δεν είναι εύκολη και απαιτεί ένα επίπεδο πολυπλοκότητας που απλώς δεν διαθέτουν οι περισσότεροι εγκληματίες στον κυβερνοχώρο.
Στεγνογραφία σε πραγματικές επιθέσεις
Τούτου λεχθέντος, η στιγογραφία δεν είναι απλώς μια θεωρία. Με τα χρόνια, υπήρξαν μερικές επιθέσεις που έχουν χρησιμοποιήσει την τεχνική και η τελευταία εντοπίστηκε τον περασμένο μήνα από ερευνητές του Kaspersky.
Η εκστρατεία στοχεύει βιομηχανικές επιχειρήσεις στο Ηνωμένο Βασίλειο, τη Γερμανία, την Ιαπωνία και την Ιταλία και τελικά διανέμει ένα εργαλείο που ονομάζεται Mimikatz, το οποίο κλέβει τα διαπιστευτήρια σύνδεσης των Windows. Πιθανότατα, ο στόχος είναι να χρησιμοποιήσετε τις πληροφορίες που έχουν υποβληθεί για να μετακινηθείτε πλευρικά εντός του συμβιβασμένου δικτύου και να προκαλέσετε μεγαλύτερη ζημιά. Πριν μπορέσουν να το κάνουν αυτό, ωστόσο, οι απατεώνες πρέπει να κάνουν λαθρεμπόριο στο Mimikatz στο σύστημα και το κάνουν χρησιμοποιώντας στιγογραφία.
Η επίθεση ξεκινά με ένα προσεκτικά επεξεργασμένο email και ένα αρχείο Excel που επισυνάπτεται σε αυτό. Οι ειδικοί επεσήμαναν ότι τα μηνύματα είναι προσαρμοσμένα για κάθε στόχο, κάτι που δείχνει ότι οι επιτιθέμενοι δεν ενδιαφέρονται να χτυπήσουν τυχαία άτομα ή οργανισμούς.
Το αρχείο Excel που άνοιξε ζητά από το θύμα να κάνει κλικ στο κουμπί "Ενεργοποίηση περιεχομένου" και εάν ο χρήστης συμμορφωθεί, το κακόβουλο υπολογιστικό φύλλο εκτελεί τις ενσωματωμένες οδηγίες μακροεντολών, οι οποίες, με τη σειρά τους, ανοίγουν ένα κρυφό παράθυρο PowerShell και φορτώνουν ένα σενάριο.
Στη συνέχεια, το κακόβουλο λογισμικό κατεβάζει ένα αθώο αρχείο PNG από έναν ιστότοπο κοινής χρήσης εικόνων όπως το Imgur ή το ImgBox. Δεν υπάρχει τίποτα σχετικά με την εικόνα που θα μπορούσε να προκαλέσει υποψίες και επειδή έχει ληφθεί από έναν εντελώς νόμιμο πόρο, είναι απίθανο να προκαλέσει ειδοποιήσεις ασφαλείας.
Στην πραγματικότητα, ωστόσο, το αρχείο εικόνας περιέχει ένα δεύτερο σενάριο PowerShell που έχει κωδικοποίηση και κρυπτογράφηση Base64. Το κακόβουλο λογισμικό εξάγει το σενάριο από το αρχείο PNG, το αποκρυπτογραφεί και το αποκωδικοποιεί και το τρέχει σε ένα δεύτερο παράθυρο PowerShell. Σκοπός του είναι να κατεβάσετε και να εγκαταστήσετε το Mimikatz stealer.
Δεν είναι ακόμη σαφές ποιος βρίσκεται πίσω από την επίθεση που περιγράφει ο Kaspersky, αλλά είναι προφανές ότι όποιος κι αν είναι, ξέρει τι κάνει. Μπορούμε μόνο να ελπίζουμε ότι λίγοι εγκληματίες στον κυβερνοχώρο είναι εξίσου έξυπνοι και εξελιγμένοι με αυτούς τους χάκερ.
