Oto, w jaki sposób hakerzy wykorzystują steganografię w cyberatakach
Wszyscy słyszeliście radę, aby nigdy nie otwierać załączników e-mail, chyba że wiesz, skąd pochodzą, i nie zdziwimy się, jeśli niektórzy z was uznają to za nieco dziwne. W końcu wiesz, że aby dostać się na komputer, trzeba wykonać jakiś kod i wiesz, że kod jest wykonywany przez pliki wykonywalne. W świetle tego możesz na przykład pomyśleć, że skromny plik JPG nie wyrządzi ci krzywdy. Mylisz się
Co to jest steganografia?
Termin steganografia pochodzi od greckich słów „ukryć” i „pisać” i dosłownie oznacza ukrywanie informacji w danych niejawnych. Jeśli chodzi o cyberbezpieczeństwo, steganografia odnosi się do osadzania złośliwego kodu w pozornie łagodnych plikach.
Hakerzy mogą osadzać złośliwe oprogramowanie w prawie każdym pliku, jaki chcesz sobie wyobrazić, w tym w obrazach i filmach. Dzięki temu nie tylko bardziej oszukują ofiarę, ale także mają lepszą szansę na uniknięcie wszelkich produktów zabezpieczających, które mogą być zainstalowane na komputerze.
To nie jest nowa technika. W rzeczywistości w 2017 r. Eksperci wymyślili termin „stegware” jako kolektyw cyberataków wykorzystujących złośliwy kod osadzony w obrazach i innych plikach multimedialnych, ale można śmiało powiedzieć, że tak sprytna i tak skuteczna, jak to jest, steganografia nie jest czymś, co hakerzy używaj szczególnie często. Wynika to głównie z tego, że ukrywanie złośliwego kodu w łagodnych plikach nie jest łatwe i wymaga poziomu wyrafinowania, którego większość cyberprzestępców po prostu nie posiada.
Steganografia w atakach w świecie rzeczywistym
To powiedziawszy, steganografia to nie tylko teoria. Przez lata było kilka ataków wykorzystujących tę technikę, a najnowszy został zauważony w zeszłym miesiącu przez naukowców z Kaspersky.
Kampania jest skierowana do przedsiębiorstw przemysłowych w Wielkiej Brytanii, Niemczech, Japonii i we Włoszech, a ostatecznie dystrybuuje narzędzie o nazwie Mimikatz, które kradnie dane logowania do systemu Windows. Najprawdopodobniej celem jest wykorzystanie zebranych informacji do przemieszczania się w obrębie zagrożonej sieci i powodowania większych szkód. Jednak zanim to zrobią, oszuści muszą przemycić Mimikatza w systemie i robią to za pomocą steganografii.
Atak rozpoczyna się od starannie spreparowanego e-maila i dołączonego do niego pliku Excel. Eksperci podkreślili, że wiadomości są dostosowane do każdego celu, co pokazuje, że atakujący nie są zainteresowani atakowaniem przypadkowych osób lub organizacji.
Otwarty plik Excel prosi ofiarę o kliknięcie przycisku „Włącz zawartość”, a jeśli użytkownik zastosuje się do tego, szkodliwy arkusz kalkulacyjny uruchamia wbudowane instrukcje makr, które z kolei otwierają ukryte okno programu PowerShell i ładują skrypt.
Następnie szkodliwe oprogramowanie pobiera niewinnie wyglądający plik PNG z witryny do udostępniania obrazów, takiej jak Imgur lub ImgBox. Nie ma nic w obrazie, który mógłby wzbudzić podejrzenia, a ponieważ został pobrany z całkowicie uzasadnionego zasobu, jest mało prawdopodobne, aby wywoływał alarmy bezpieczeństwa.
W rzeczywistości jednak plik obrazu zawiera drugi skrypt PowerShell, który jest zakodowany i zaszyfrowany w standardzie Base64. Szkodnik wyodrębnia skrypt z pliku PNG, odszyfrowuje go i dekoduje, i uruchamia w drugim oknie programu PowerShell. Jego celem jest pobranie i zainstalowanie steadera Mimikatz.
Nie jest jeszcze jasne, kto stoi za atakiem opisanym przez Kaspersky, ale oczywiste jest, że kimkolwiek są, wiedzą, co robią. Możemy mieć tylko nadzieję, że niewielu cyberprzestępców jest tak sprytnych i wyrafinowanych jak hakerzy.