Hier leest u hoe hackers steganografie gebruiken in cyberaanvallen

Jullie hebben allemaal het advies gehoord dat je nooit e-mailbijlagen mag openen tenzij je weet waar ze vandaan komen, en het zal ons niet verbazen als sommigen van jullie het een beetje vreemd vinden. U weet tenslotte dat om uw computer in gevaar te brengen, sommige code moet worden uitgevoerd en u weet dat code wordt uitgevoerd door uitvoerbare bestanden. In het licht hiervan zou je kunnen denken dat een bescheiden JPG-bestand je bijvoorbeeld geen kwaad kan doen. Je zou het mis hebben.

Wat is steganografie?

De term steganografie komt van de Griekse woorden voor 'verbergen' en 'schrijven' en betekent letterlijk het verbergen van informatie in niet-geheime gegevens. Als het gaat om cyberbeveiliging, verwijst steganografie naar het insluiten van kwaadaardige code in schijnbaar goedaardige bestanden.

Hackers kunnen malware insluiten in vrijwel elk type bestand dat u maar wilt bedenken, inclusief afbeeldingen en video's. Daarmee hebben ze niet alleen meer kans om het slachtoffer voor de gek te houden, maar hebben ze ook een betere kans om eventuele beveiligingsproducten die op de computer zijn geïnstalleerd te ontwijken.

Het is geen nieuwe techniek. In 2017 bedachten experts zelfs de term 'stegware' als een collectief voor cyberaanvallen met behulp van schadelijke code die is ingebed in afbeeldingen en andere mediabestanden, maar het is veilig om te zeggen dat steganografie niet zo slim en effectief is als hackers bijzonder vaak gebruiken. Dit komt vooral omdat het verbergen van kwaadaardige code in goedaardige bestanden niet eenvoudig is en een niveau van verfijning vereist dat de meeste cybercriminelen gewoon niet bezitten.

Steganografie bij echte aanvallen

Dat gezegd hebbende, steganografie is niet alleen een theorie. In de loop der jaren zijn er enkele aanvallen geweest waarbij de techniek is gebruikt, en de laatste werd vorige maand opgemerkt door onderzoekers van Kaspersky.

De campagne is gericht op industriële ondernemingen in het VK, Duitsland, Japan en Italië en distribueert uiteindelijk een tool genaamd Mimikatz, die Windows-inloggegevens steelt. Hoogstwaarschijnlijk is het doel om de gestolen informatie te gebruiken om lateraal binnen het aangetaste netwerk te bewegen en meer schade aan te richten. Maar voordat ze dat kunnen doen, moeten de boeven Mimikatz op het systeem smokkelen, en dat doen ze met steganografie.

De aanval begint met een zorgvuldig samengestelde e-mail en een bijgevoegd Excel-bestand. De experts wezen erop dat de berichten voor elk doelwit zijn aangepast, wat aantoont dat de aanvallers niet geïnteresseerd zijn in het raken van willekeurige mensen of organisaties.

Het geopende Excel-bestand vraagt het slachtoffer om op de knop "Inhoud inschakelen" te klikken en als de gebruiker hieraan voldoet, voert de kwaadaardige spreadsheet de ingesloten macro-instructies uit, die op hun beurt een verborgen PowerShell-venster openen en een script laden.

De malware downloadt vervolgens een onschuldig ogend PNG-bestand van een website voor het delen van afbeeldingen zoals Imgur of ImgBox. Er is niets aan de afbeelding dat argwaan kan wekken, en omdat het is gedownload van een volledig legitieme bron, is het onwaarschijnlijk dat er beveiligingswaarschuwingen worden gegeven.

In werkelijkheid bevat het afbeeldingsbestand echter een tweede PowerShell-script dat Base64-gecodeerd en gecodeerd is. De malware haalt het script uit het PNG-bestand, decodeert en decodeert het en voert het uit in een tweede PowerShell-venster. Het doel is om de Mimikatz-stealer te downloaden en te installeren.

Het is nog niet duidelijk wie achter de door Kaspersky beschreven aanval zit, maar het is duidelijk dat wie ze ook zijn, ze weten wat ze doen. We kunnen alleen maar hopen dat maar weinig cybercriminelen zo slim en geavanceerd zijn als deze hackers.