Вот как хакеры используют стеганографию в кибератаках

Вы все слышали совет, что вам никогда не следует открывать вложения электронной почты, если вы не знаете, откуда они приходят, и мы не удивимся, если некоторые из вас сочтут это немного странным. В конце концов, вы знаете, что для компрометации вашего компьютера необходимо выполнить некоторый код, и вы знаете, что код выполняется исполняемыми файлами. В свете этого вы можете подумать, что скромный файл JPG, например, не может вам навредить. Ты был бы неправ.

Что такое стеганография?

Термин стеганография происходит от греческих слов «скрывать» и «писать» и буквально означает скрытие информации в несекретных данных. Когда речь заходит о кибербезопасности, под стеганографией понимается процесс встраивания вредоносного кода в кажущиеся безобидными файлы.

Хакеры могут встраивать вредоносные программы практически в любой тип файла, который вы хотите себе представить, включая изображения и видео. При этом они не только с большей вероятностью одурачат жертву, но и смогут лучше уклониться от любых продуктов безопасности, которые могут быть установлены на компьютере.

Это не новая техника. Фактически, в 2017 году эксперты придумали термин «stegware» как коллектив для кибератак, использующих вредоносный код, встроенный в изображения и другие медиафайлы, но можно с уверенностью сказать, что столь же умная и эффективная стеганография не является чем-то хакерским. использовать особенно часто. Это происходит главным образом потому, что скрыть вредоносный код в доброкачественных файлах нелегко и требует уровня сложности, которым просто не обладает большинство киберпреступников.

Стеганография в реальных атаках

При этом стеганография это не просто теория. За прошедшие годы было несколько атак с использованием этой техники, и последняя из них была обнаружена в прошлом месяце исследователями из Kaspersky.

Кампания ориентирована на промышленные предприятия в Великобритании, Германии, Японии и Италии и, в конечном итоге, распространяет инструмент под названием Mimikatz, который крадет учетные данные для входа в Windows. Скорее всего, цель состоит в том, чтобы использовать украденную информацию для бокового перемещения внутри скомпрометированной сети и причинения большего ущерба. Однако, прежде чем они смогут это сделать, мошенники должны переправить Mimikatz в систему, и они делают это с помощью стеганографии.

Атака начинается с тщательно созданного электронного письма и прикрепленного к нему файла Excel. Эксперты отметили, что сообщения настраиваются для каждой цели, что говорит о том, что злоумышленники не заинтересованы в попадании в случайных людей или организации.

Открытый файл Excel просит жертву нажать кнопку «Включить содержимое», и если пользователь выполняет это требование, вредоносная электронная таблица запускает встроенные макрокоманды, которые, в свою очередь, открывают скрытое окно PowerShell и загружают скрипт.

Затем вредоносная программа загружает PNG-файл невинного вида с веб-сайта обмена изображениями, такого как Imgur или ImgBox. В изображении нет ничего, что могло бы вызвать подозрения, и поскольку оно загружено с абсолютно легитимного ресурса, оно вряд ли вызовет какие-либо предупреждения безопасности.

В действительности, однако, файл изображения содержит второй сценарий PowerShell, который закодирован и зашифрован в Base64. Вредоносная программа извлекает сценарий из файла PNG, расшифровывает и декодирует его и запускает во втором окне PowerShell. Его целью является загрузка и установка стилера Mimikatz.

Пока не ясно, кто стоит за атакой, описанной Касперским, но очевидно, что кто бы они ни были, они знают, что делают. Мы можем только надеяться, что немногие киберпреступники настолько умны и искушены, как эти хакеры.