Slik bruker hackere steganografi i cyberangrep

Du har alle hørt rådene om at du aldri skal åpne e-postvedlegg med mindre du vet hvor de kommer fra, og vi vil ikke bli overrasket hvis noen av dere synes det er litt rart. Tross alt vet du at for å få datamaskinen din kompromittert, må noen kode kjøres, og du vet at koden kjøres av kjørbare filer. I lys av dette kan du tenke at en ydmyk JPG-fil, for eksempel, ikke kan skade deg. Du vil ta feil.

Hva er steganografi?

Begrepet steganografi kommer fra de greske ordene for "skjul" og "skriving", og det betyr bokstavelig talt å skjule informasjon i ikke-hemmelige data. Når det gjelder cybersecurity, refererer steganography til handlingen om å legge inn ondsinnet kode i tilsynelatende godartede filer.

Hackere kan legge inn skadelig programvare i omtrent alle typer filer du vil forestille deg, inkludert bilder og videoer. Med det er det ikke bare mer sannsynlig at de lurer offeret, men de har også et bedre skudd med å unngå alle sikkerhetsprodukter som kan installeres på datamaskinen.

Det er ikke en ny teknikk. Faktisk, i 2017, myntet eksperter uttrykket "stegware" som et kollektiv for cyberattacks ved bruk av ondsinnet kode innebygd i bilder og andre mediefiler, men det er trygt å si at så smart og så effektivt som det er, steganografi ikke er noe hackerne bruk spesielt ofte. Dette er hovedsakelig fordi det å skjule ondsinnet kode i godartede filer ikke er lett og krever et nivå av raffinement som de fleste nettkriminelle rett og slett ikke har.

Steganografi i virkelige angrep

Når det er sagt, er steganografi ikke bare en teori. I løpet av årene har det vært noen angrep som har brukt teknikken, og den siste ble oppdaget forrige måned av forskere fra Kaspersky.

Kampanjen er rettet mot industrivirksomheter i Storbritannia, Tyskland, Japan og Italia, og til slutt distribuerer den et verktøy som heter Mimikatz, som stjeler Windows-påloggingsinformasjon. Mest sannsynlig er målet å bruke den tilordnede informasjonen til å bevege seg sideveis i det kompromitterte nettverket og forårsake mer skade. Før de kan gjøre det, trenger imidlertid kjeltringene å smugle Mimikatz på systemet, og det gjør de ved hjelp av steganografi.

Angrepet starter med en nøye utformet e-post og en Excel-fil knyttet til den. Ekspertene påpekte at meldingene tilpasses for hvert mål, noe som viser at angriperne ikke er interessert i å treffe tilfeldige personer eller organisasjoner.

Den åpne Excel-filen ber offeret klikke på "Aktiver innhold" -knappen, og hvis brukeren overholder, kjører det ondsinnede regnearket de innebygde makroinstruksjonene, som igjen åpner et skjult PowerShell-vindu og laster inn et skript.

Den skadelige programvaren laster deretter ned en uskyldig PNG-fil fra et bildedelingsnettsted som Imgur eller ImgBox. Det er ingenting med bildet som kan gi mistanke, og fordi det er lastet ned fra en helt legitim ressurs, er det lite sannsynlig at det utløser sikkerhetsvarsler.

I virkeligheten inneholder imidlertid bildefilen et andre PowerShell-skript som er Base64-kodet og kryptert. Den skadelige programvaren trekker ut skriptet fra PNG-filen, dekrypterer og dekoder det og kjører det i et andre PowerShell-vindu. Hensikten er å laste ned og installere Mimikatz stealer.

Det er foreløpig ikke klart hvem som sitter bak angrepet beskrevet av Kaspersky, men det er åpenbart at uansett hva de er, de vet hva de gjør. Vi kan bare håpe at få nettkriminelle er så flinke og sofistikerte som disse hackerne er.