Стеганография как способ спрятать информацию известна с давних времен. В последнее время ее стали упоминать в связи с некоторыми формами кибератак. В этой статье рассказывается о видах стеганографии, примерах ее использования и о том, что означает стеганография в контексте кибербезопасности.
Стеганография — это способ спрятать информацию внутри другой информации или физического объекта так, чтобы ее нельзя было обнаружить. С помощью стеганографии можно спрятать практически любой цифровой контент, включая тексты, изображения, аудио- и видеофайлы. А когда эта спрятанная информация поступает к адресату, ее извлекают.
Иногда контент, который нужно скрыть с помощью стеганографии, шифруют, прежде чем поместить внутрь файла другого формата. Даже если контент не зашифрован, он может быть каким-либо другим образом обработан, чтобы его было сложнее обнаружить.
Стеганографию иногда сравнивают с криптографией, поскольку и то и другое – это способы секретной коммуникации. Однако между ними есть разница, поскольку при стеганографии данные при отправке не шифруются, а при получении не нужен ключ для расшифровки.
Термин «стеганография» происходит от греческих слов «στεγανός» («скрытый») и «γράφω» («пишу»). На протяжении тысячелетий стеганографию в разных формах использовали для сохранения тайны переписки. Например, в древней Греции послания вырезали на деревянных дощечках, а затем скрывали под слоем воска. Римляне использовали разные типы невидимых чернил, которые проявлялись под воздействием тепла или света.
Понятие «стеганография» используется и в кибербезопасности, потому что вымогатели и другие злоумышленники часто скрывают информацию при атаке на жертву. Например, они могут прятать данные, маскировать вредоносный код или отправлять инструкции для командных серверов, помещая все это в безобидные на первый взгляд текстовые, графические, аудио- или видеофайлы.
Стеганография позволяет скрывать информацию так, чтобы не вызвать подозрений. Одна из самых распространенных техник стеганографии — LSB (least significant bit –«наименее значащий бит»): секретные данные встраиваются в наименее значащие биты медиафайла. Рассмотрим это подробнее.
Та же техника может применяться к другим медиафайлам, таким как звук или видео, когда информация встраивается в файл практически без изменения аудио- или видеоряда.
Еще одна техника стеганографии предполагает замену букв или слов. При этом текст секретного сообщения внедряется в другой текст, гораздо большего размера, а слова размещаются через определенные интервалы. Хотя метод замены прост в использовании, но при этом конечный текст может выглядеть странно и неестественно, поскольку секретные слова могут по смыслу выпадать из предложений.
Другие техники стеганографии позволяют скрывать целые разделы жестких дисков или встраивать данные в заголовки файлов и сетевых пакетов. Эффективность этих техник определяется тем, какой объем данных они позволяют скрыть и насколько легко эти данные обнаружить.
Существует пять основных видов цифровой стеганографии.
Рассмотрим каждый из них.
Текстовая стеганография означает сокрытие данных внутри текстовых файлов. Это может быть форматирование текста, изменение слов внутри текста, использование контекстно-свободных грамматик для генерации читабельных текстов или генерация случайных последовательностей символов.
Это означает сокрытие данных внутри графических файлов. Этот вид стеганографии часто используют, чтобы скрыть информацию, поскольку цифровое изображение состоит из большого числа элементов и есть много способов спрятать данные внутри него.
Секретные сообщения встраиваются в аудиосигнал, что изменяет бинарную последовательность соответствующего аудиофайла. Встраивание секретных сообщений в цифровой звук — это более сложный процесс по сравнению с другими.
Данные прячутся внутрь цифровых видеоформатов. Стеганография в видео позволяет скрывать большие объемы данных в движущемся потоке изображения и звука. Есть две разновидности стеганографии в видео:
Сетевая, или протокольная, стеганография — это техника встраивания информации в сетевые протоколы, используемые при передаче данных, такие как TCP, UDP, ICMP и др.
Стеганография и криптография преследуют одну и ту же цель — защитить сообщение или информацию от посторонних лиц, но эта цель достигается с помощью разных механизмов. Криптография превращает информацию в зашифрованный текст, который может быть прочитан только с помощью ключа для расшифровки. Это значит, что если кто-то перехватил сообщение, он сразу же поймет, что информация была зашифрована. Стеганография же не шифрует информацию, вместо этого она скрывает само наличие сообщения.
Есть некоторое сходство между стеганографией и NFT (невзаимозаменяемыми токенами). Стеганография — это технология сокрытия одних файлов внутри других, будь то изображение, текст, видео или другой формат.
При создании NFT в него обычно можно добавить дополнительный контент, который будет виден только владельцу этого NFT. Это может быть что угодно: HD-контент, сообщения, видео, доступ к секретным сообществам, промокоды и даже смарт-контракты или активы в онлайн-играх.
По мере развития мирового арт-сообщества меняются и технологии NFT. В будущем создание NFT, содержащих частные метаданные, будет все более популярно, а сфера их применения — все более широкой, включая гейминг, платные подписки, распространение билетов на мероприятия и т. д.
В последнее время стеганография в основном применяется в компьютерной сфере, где цифровые данные служат носителями информации, а сети — высокоскоростными каналами ее доставки. Стеганография используется в следующих случаях.
Злоумышленники могут использовать стеганографию для встраивания вредоносных данных в безобидные на первый взгляд файлы. Поскольку стеганография требует серьезных усилий и навыков, ее обычно применяют опытные злоумышленники, преследующие конкретные цели. Вот некоторые виды кибератак с использованием стеганографии.
Встраивание вредоносной нагрузки в цифровые медиафайлы
Чаще всего для этого идут в ход цифровые изображения, поскольку они содержат много избыточных данных, которые можно ловко использовать без вреда для внешнего вида изображения. Графические файлы так широко применяются в цифровом мире, что почти не вызывают подозрений с точки зрения их безопасности. Видео- и аудиофайлы, документы и даже подписи в электронных письмах — это тоже потенциальные средства доставки вредоносной нагрузки с использованием стеганографии.
Программы-вымогатели и извлечение данных
Разработчики программ-вымогателей тоже поняли преимущества стеганографии в планировании атак. Преступники могут использовать ее на стадии извлечения данных. Благодаря стеганографии конфиденциальные данные встраиваются внутрь обычной переписки и извлекаются, никем посторонним не раскрытые. Поскольку кража данных все чаще становится главной целью кибератак, специалисты по безопасности совершенствуют способы обнаружения утечки, часто путем мониторинга зашифрованного сетевого трафика.
Скрытые команды внутри веб-страниц
Злоумышленники могут прятать команды для своих имплантов в пустых полях веб-страниц, в журналах отладки на форумах, скрытно встраивать похищенные данные в изображения и поддерживать непрерывность этого процесса путем хранения зашифрованного кода в определенных местах.
Вредоносное рекламное ПО
Злоумышленники, специализирующиеся на вредоносных рекламных кампаниях, также могут использовать стеганографию. Они могут встраивать вредоносный код в рекламные баннеры, при загрузке которых код активируется и перенаправляет пользователей на страницу, содержащую набор эксплойтов.
Скимминг в интернет-магазинах
В 2020 г. голландская компания Sansec, специализирующаяся на безопасности электронной торговли, опубликовала расследование. В нем говорилось, что злоумышленники встроили веб-скиммеры в файлы векторной графики SVG на платежных страницах интернет-магазинов. При этом вредоносная нагрузка скрывалась в векторных изображениях, а декодер хранился отдельно в других элементах веб-страниц.
Клиенты, которые вводили платежные данные на взломанных страницах, не замечали ничего подозрительного, поскольку эти изображения представляли собой логотипы хорошо известных компаний. Поскольку вредоносная нагрузка была скрыта внутри того, что выглядело как корректно использованный синтаксис SVG-элемента, стандартные сканеры, настроенные на поиск неправильного синтаксиса, не могли выявить вредоносную активность.
Случай SolarWinds
В том же 2020 году группа хакеров спрятала вредоносное ПО внутрь официального обновления от американской компании SolarWinds — разработчика популярной платформы для управления IT-инфраструктурой. В результате хакеры успешно взломали системы Microsoft, Intel и Cisco, а также различных правительственных учреждений США. После этого с помощью стеганографии они замаскировали похищаемую информацию под внешне безобидные XML-файлы, которые использовались в теле HTTP-ответов от серверов управления. Команды в этих файлах были замаскированы под другие строки текста.
Промышленные предприятия
И снова 2020 год. Многие предприятия Великобритании, Германии, Италии и Японии подверглись масштабной атаке с использованием стеганографических документов. Хакеры обошли системы защиты, разместив на солидных фото-хостингах, таких как Imgur, стеганографическое изображение, способное заражать Excel-документы. Скрытый скрипт, встроенный в изображение, загружал вредоносную программу Mimikatz, с помощью которой злоумышленники извлекали пароли Windows.
Поиском стеганографии занимается стегоанализ. Есть разные инструменты, которые позволяют выявить скрытые данные, например StegExpose и StegAlyze. Для обнаружения аномалий в файлах специалисты могут использовать и более общие инструменты анализа, например шестнадцатеричные HEX-редакторы.
Однако найти файлы, измененные с помощью стеганографии, — это непростая задача, ведь пользователи ежедневно загружают в соцсети миллионы изображений, так что невозможно понять, с чего начинать поиск скрытых данных.
Использовать стеганографию для атак сравнительно легко. Защититься от таких атак гораздо сложнее, так как их организаторы действуют все изощреннее и изобретательнее. Вот некоторые способы защиты.
Рекомендуемые продукты:
Статьи по теме:
Мы используем файлы cookie, чтобы сделать работу с сайтом удобнее. Продолжая находиться на сайте, вы соглашаетесь с этим. Подробную информацию о файлах cookie можно прочитать здесь.