Oto, w jaki sposób hakerzy wykorzystują steganografię w cyberatakach

Steganography

Wszyscy słyszeliście radę, aby nigdy nie otwierać załączników e-mail, chyba że wiesz, skąd pochodzą, i nie zdziwimy się, jeśli niektórzy z was uznają to za nieco dziwne. W końcu wiesz, że aby dostać się na komputer, trzeba wykonać jakiś kod i wiesz, że kod jest wykonywany przez pliki wykonywalne. W świetle tego możesz na przykład pomyśleć, że skromny plik JPG nie wyrządzi ci krzywdy. Mylisz się

Co to jest steganografia?

Termin steganografia pochodzi od greckich słów „ukryć” i „pisać” i dosłownie oznacza ukrywanie informacji w danych niejawnych. Jeśli chodzi o cyberbezpieczeństwo, steganografia odnosi się do osadzania złośliwego kodu w pozornie łagodnych plikach.

Hakerzy mogą osadzać złośliwe oprogramowanie w prawie każdym pliku, jaki chcesz sobie wyobrazić, w tym w obrazach i filmach. Dzięki temu nie tylko bardziej oszukują ofiarę, ale także mają lepszą szansę na uniknięcie wszelkich produktów zabezpieczających, które mogą być zainstalowane na komputerze.

To nie jest nowa technika. W rzeczywistości w 2017 r. Eksperci wymyślili termin „stegware” jako kolektyw cyberataków wykorzystujących złośliwy kod osadzony w obrazach i innych plikach multimedialnych, ale można śmiało powiedzieć, że tak sprytna i tak skuteczna, jak to jest, steganografia nie jest czymś, co hakerzy używaj szczególnie często. Wynika to głównie z tego, że ukrywanie złośliwego kodu w łagodnych plikach nie jest łatwe i wymaga poziomu wyrafinowania, którego większość cyberprzestępców po prostu nie posiada.

Steganografia w atakach w świecie rzeczywistym

To powiedziawszy, steganografia to nie tylko teoria. Przez lata było kilka ataków wykorzystujących tę technikę, a najnowszy został zauważony w zeszłym miesiącu przez naukowców z Kaspersky.

Kampania jest skierowana do przedsiębiorstw przemysłowych w Wielkiej Brytanii, Niemczech, Japonii i we Włoszech, a ostatecznie dystrybuuje narzędzie o nazwie Mimikatz, które kradnie dane logowania do systemu Windows. Najprawdopodobniej celem jest wykorzystanie zebranych informacji do przemieszczania się w obrębie zagrożonej sieci i powodowania większych szkód. Jednak zanim to zrobią, oszuści muszą przemycić Mimikatza w systemie i robią to za pomocą steganografii.

Atak rozpoczyna się od starannie spreparowanego e-maila i dołączonego do niego pliku Excel. Eksperci podkreślili, że wiadomości są dostosowane do każdego celu, co pokazuje, że atakujący nie są zainteresowani atakowaniem przypadkowych osób lub organizacji.

Otwarty plik Excel prosi ofiarę o kliknięcie przycisku „Włącz zawartość”, a jeśli użytkownik zastosuje się do tego, szkodliwy arkusz kalkulacyjny uruchamia wbudowane instrukcje makr, które z kolei otwierają ukryte okno programu PowerShell i ładują skrypt.

Następnie szkodliwe oprogramowanie pobiera niewinnie wyglądający plik PNG z witryny do udostępniania obrazów, takiej jak Imgur lub ImgBox. Nie ma nic w obrazie, który mógłby wzbudzić podejrzenia, a ponieważ został pobrany z całkowicie uzasadnionego zasobu, jest mało prawdopodobne, aby wywoływał alarmy bezpieczeństwa.

W rzeczywistości jednak plik obrazu zawiera drugi skrypt PowerShell, który jest zakodowany i zaszyfrowany w standardzie Base64. Szkodnik wyodrębnia skrypt z pliku PNG, odszyfrowuje go i dekoduje, i uruchamia w drugim oknie programu PowerShell. Jego celem jest pobranie i zainstalowanie steadera Mimikatz.

Nie jest jeszcze jasne, kto stoi za atakiem opisanym przez Kaspersky, ale oczywiste jest, że kimkolwiek są, wiedzą, co robią. Możemy mieć tylko nadzieję, że niewielu cyberprzestępców jest tak sprytnych i wyrafinowanych jak hakerzy.

June 3, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.