Štai kaip piratai steganografiją naudoja kibernetiniuose išpuoliuose

Visi esate girdėję patarimą, kad niekada neturėtumėte atidaryti el. Pašto priedų, nebent žinote, kur jie yra, ir mes nenustebinsime, jei kai kuriems iš jūsų tai atrodys šiek tiek keista. Galų gale, jūs žinote, kad norint pakenkti jūsų kompiuteriui, reikia įvykdyti kai kuriuos kodus, ir jūs žinote, kad kodas vykdomas vykdomaisiais failais. Atsižvelgiant į tai, galite pamanyti, kad, pavyzdžiui, nuolankus JPG failas gali jums nepakenkti. Tu būsi neteisus.

Kas yra steganografija?

Steganografijos terminas kilęs iš graikų kalbos žodžių „nuslėpti“ ir „rašyti“ ir tai tiesiogine prasme reiškia informacijos slėpimą ne paslaptyje. Kai kalbama apie kibernetinį saugumą, steganografija reiškia kenkėjiško kodo įdėjimą į, atrodo, gerybinius failus.

Piratai gali įterpti kenkėjišką programinę įrangą į bet kokio tipo failus, kuriuos galite įsivaizduoti, įskaitant vaizdus ir vaizdo įrašus. Tokiu būdu jie ne tik labiau linkę apgauti auką, bet ir geriau stengiasi išvengti bet kokių saugos produktų, kurie gali būti įdiegti kompiuteryje.

Tai nėra nauja technika. Tiesą sakant, 2017 m. Ekspertai sugalvojo terminą „stegware“ kaip kolektyvą, skirtą kibernetiniams puolimams, naudojant kenkėjišką kodą, įterptą į vaizdus ir kitus daugialypės terpės failus, tačiau galima drąsiai teigti, kad tokia protinga ir efektyvi, kokia ji yra, steganografija nėra kažkas įsilaužėlių. naudoti ypač dažnai. Taip yra daugiausia todėl, kad paslėpti kenkėjišką kodą gerybiškai atrodančiuose failuose nėra lengva ir tam reikia tokio sudėtingumo, kokio dauguma elektroninių nusikaltėlių tiesiog neturi.

Steganografija realaus pasaulio išpuoliuose

Beje, steganografija nėra tik teorija. Bėgant metams buvo keletas išpuolių, kuriuose buvo naudojama ši technika, o paskutinį iš jų praėjusį mėnesį pastebėjo Kaspersky tyrėjai.

Kampanija skirta JK, Vokietijos, Japonijos ir Italijos pramonės įmonėms, o galiausiai ji platina įrankį pavadinimu „Mimikatz“, kuris vagia „Windows“ prisijungimo duomenis. Greičiausiai tikslas yra panaudoti užfiksuotą informaciją, kad ji galėtų judėti į šoną pažeistame tinkle ir padaryti daugiau žalos. Tačiau, kol jie gali tai padaryti, sukčiai turi kontrabandą gabenti sistemoje „Mimikatz“, ir jie tai daro naudodamiesi steganografija.

Ataka prasideda kruopščiai parengtu el. Laišku ir prie jo pridėtu „Excel“ failu. Ekspertai pabrėžė, kad žinutės yra pritaikytos kiekvienam taikiniui, o tai rodo, kad užpuolikai nėra suinteresuoti mušti atsitiktinius žmones ar organizacijas.

Atidarytas „Excel“ failas prašo aukos spustelėti mygtuką „Įgalinti turinį“, o jei vartotojas to įvykdo, kenkėjiška skaičiuoklė vykdo įdėtas makrokomandų instrukcijas, kurios savo ruožtu atidaro paslėptą „PowerShell“ langą ir įkelia scenarijų.

Tada kenkėjiška programa atsisiunčia nekaltai atrodantį PNG failą iš vaizdų bendro naudojimo vaizdo svetainėse, tokiose kaip „Imgur“ arba „ImgBox“. Vaizde nėra nieko, kas galėtų sukelti įtarimų, ir kadangi jis atsisiųstas iš visiškai teisėtų šaltinių, greičiausiai nesukels jokių saugos įspėjimų.

Tačiau iš tikrųjų vaizdo faile yra antrasis „PowerShell“ scenarijus, kuris yra užkoduotas „Base64“ ir užšifruotas. Kenkėjiška programa ištraukia scenarijų iš PNG failo, iššifruoja ir iššifruoja jį ir paleidžia jį antrame „PowerShell“ lange. Jos tikslas yra atsisiųsti ir įdiegti „Mimikatz“ stealerį.

Dar nėra aišku, kas sėdi už Kaspersky aprašytos atakos, tačiau akivaizdu, kad kas jie tokie, jie žino, ką daro. Galime tik tikėtis, kad keli elektroniniai nusikaltėliai yra tokie protingi ir rafinuoti, kokie yra šie įsilaužėliai.