ハッカーがサイバー攻撃でステガノグラフィーを使用する方法は次のとおりです
メールの添付ファイルの送信元がわからない場合は、決して添付ファイルを開かないようにというアドバイスを聞いたことがあるので、少し変だと思っても驚かないでしょう。結局のところ、コンピューターを危険にさらすためには、いくつかのコードを実行する必要があること、そしてコードが実行可能ファイルによって実行されることを知っています。これを踏まえると、たとえば、控えめなJPGファイルでも害はないと考えられるかもしれません。あなたは間違っているでしょう。
ステガノグラフィーとは何ですか?
ステガノグラフィという用語は、ギリシャ語で「隠す」と「書く」という言葉に由来し、文字通り非機密データに情報を隠すことを意味します。サイバーセキュリティに関して、ステガノグラフィーとは、悪意のあるコードを一見無害なファイルに埋め込む行為を指します。
ハッカーは、画像やビデオを含め、想像したいあらゆる種類のファイルにマルウェアを埋め込むことができます。これにより、被害者をだます可能性が高くなるだけでなく、コンピューターにインストールされている可能性のあるセキュリティ製品を回避するための優れたショットも得られます。
これは新しいテクニックではありません。実際、2017年、専門家は画像やその他のメディアファイルに埋め込まれた悪意のあるコードを使用したサイバー攻撃の集合体として「ステグウェア」という用語を作り出しましたが、ステガノグラフィーはハッカーのようなものではなく、賢明で効果的であると言っても安全です。特に頻繁に使用します。これは主に、無害に見えるファイルに悪意のあるコードを隠すことは容易ではなく、ほとんどのサイバー犯罪者が単純に持っていないレベルの高度さが必要であるためです。
現実世界の攻撃におけるステガノグラフィー
そうは言っても、ステガノグラフィーは単なる理論ではありません。長年にわたり、この手法を使用した攻撃がいくつかありましたが、最新の攻撃は先月カスペルスキーの研究者によって発見されました。
キャンペーンは英国、ドイツ、日本、イタリアの産業企業を対象としており、最終的にはWindowsログイン資格情報を盗むMimikatzと呼ばれるツールを配布しています。最も可能性が高いのは、盗まれた情報を使用して、侵害されたネットワーク内を横方向に移動し、被害を拡大することです。ただし、それを行う前に、詐欺師はシステム上でMimikatzを密輸する必要があり、ステガノグラフィーを使用してこれを行います。
攻撃は、巧妙に作成された電子メールとそれに添付されたExcelファイルから始まります。専門家は、メッセージがターゲットごとにカスタマイズされていることを指摘しました。これは、攻撃者がランダムな人や組織を攻撃することに興味がないことを示しています。
開いたExcelファイルは、被害者に[コンテンツを有効にする]ボタンをクリックするように要求し、ユーザーがそれを遵守すると、悪意のあるスプレッドシートが埋め込まれたマクロ命令を実行し、非表示のPowerShellウィンドウを開いてスクリプトをロードします。
次にマルウェアは、ImgurやImgBoxなどの画像共有Webサイトから無害に見えるPNGファイルをダウンロードします。疑わしい可能性がある画像については何もありません。完全に正当なリソースからダウンロードされているため、セキュリティアラートをトリガーすることはほとんどありません。
ただし、実際には、画像ファイルには、Base64でエンコードおよび暗号化された2番目のPowerShellスクリプトが含まれています。マルウェアは、PNGファイルからスクリプトを抽出し、それを復号化してデコードし、2番目のPowerShellウィンドウで実行します。その目的は、Mimikatzスティーラーをダウンロードしてインストールすることです。
カスペルスキーによって説明された攻撃の背後に誰が座っているかはまだ明らかではありませんが、彼らが誰であっても、彼らが何をしているかを知っていることは明らかです。私たちは、ハッカーほど巧妙で巧妙なサイバー犯罪者がほとんどいないことを願っています。