Íme, hogy a hackerek hogyan használják a szteganográfiát a kiber támadások során

Mindannyian hallották azt a tanácsot, hogy soha ne nyisson meg e-mail mellékleteket, hacsak nem tudja, honnan származnak, és nem lepünk meg, ha néhányan Önnek kissé furcsa. Végül is tudja, hogy ahhoz, hogy veszélybe kerüljön a számítógép, valamilyen kódot végre kell hajtani, és tudod, hogy a kódot futtatható fájlok hajtják végre. Ennek fényében azt gondolhatja, hogy egy szerény JPG fájl például nem árthat. Tévednél.

Mi a szteganográfia?

A szteganográfia kifejezés a "rejtett" és "írás" görög szavakból származik, és szó szerint azt jelenti, hogy az információkat elrejtik a nem titkos adatokban. A kiberbiztonsággal kapcsolatban a szteganográfia arra utal, hogy a rosszindulatú kódot látszólag jóindulatú fájlokba ágyazzák.

A hackerek rosszindulatú programokat ágyazhatnak be bármilyen fájltípusba, amelyet elképzelni szeretne, ideértve a képeket és a videókat is. Ezzel nem csak valószínűbb, hogy becsapják az áldozatot, hanem jobb képességet kapnak a számítógépre telepített biztonsági termékek elkerülésére is.

Ez nem új technika. Valójában 2017-ben a szakértők a „stegware” kifejezést a számítógépes támadásokkal összeállított képként és más médiafájlokba ágyazott rosszindulatú kódot alkalmazó kollektív csoportként fogalmazták meg, de nyugodtan mondhatjuk, hogy a sztaganográfia oly okos és hatékony, mint amilyen a hackerek. különösen gyakran használja. Ennek oka elsősorban az, hogy a rosszindulatú kód elrejtése a jóindulatú fájlokban nem könnyű, és olyan szintű kifinomultságot igényel, amely a legtöbb számítógépes bűnözőnek egyszerűen nincs.

Szteganográfia valós támadásokban

A szteganográfia nem csupán elmélet. Az évek során volt néhány támadás, amelyek alkalmazták a technikát, és a legutóbbiat a múlt hónapban észleltek Kaspersky kutatói.

A kampány az Egyesült Királyság, Németország, Japán és Olaszország ipari vállalkozásait célozza meg, és végül egy Mimikatz nevű eszközt terjeszt, amely ellopja a Windows bejelentkezési adatait. Valószínűleg a cél az, hogy a megtámadott információkat oldalirányban mozgassa a veszélyeztetett hálózaton belül, és további károkat okozjon. Mielőtt ezt megtennék, a csalóknak csempészniük kell a Mimikatzt a rendszeren, és ezt szteganográfiával használják.

A támadás egy gondosan kidolgozott e-maillel és egy hozzá csatolt Excel fájllal kezdődik. A szakértők rámutattak, hogy az üzenetek az egyes célokhoz vannak testreszabva, ami azt mutatja, hogy a támadók nem érdekli a véletlenszerű emberek vagy szervezetek ütését.

A megnyitott Excel fájl felkéri az áldozatot, hogy kattintson a "Tartalom engedélyezése" gombra, és ha a felhasználó ezt teljesíti, a rosszindulatú táblázat futtatja a beágyazott makró utasításokat, amelyek viszont megnyitják a rejtett PowerShell ablakot és betölti a szkriptet.

Ezután a rosszindulatú program ártatlan kinézetű PNG-fájlt tölt le egy képmegosztó webhelyről, például az Imgur vagy az ImgBox. A képen nincs semmi olyan, ami felveti a gyanút, és mivel egy teljesen legitim forrásból töltötte le, ez valószínűleg nem indít biztonsági riasztást.

A valóságban azonban a képfájl tartalmaz egy második PowerShell szkriptet, amely Base64-en kódolva és titkosítva van. A rosszindulatú program kibontja a szkriptet a PNG fájlból, dekódolja és dekódolja azt, és egy második PowerShell ablakban futtatja. Ennek célja a Mimikatz stealer letöltése és telepítése.

Még nem világos, ki ül a Kaspersky által leírt támadás mögött, de nyilvánvaló, hogy bárki is legyen, tudják, mit csinálnak. Remélhetjük, hogy csak néhány számítógépes bűnöző van olyan okos és kifinomult, mint ezek a hackerek.