Steganografie


Naarmate de wereldwijde digitale transformatie toeneemt neemt ook de bezorgdheid over de beveiliging van onze gegevens toe. Hackers en cybercriminelen zoeken nieuwe manieren om aan te vallen of te communiceren. Daarbij kan 'steganografie' een mogelijkheid zijn. Maar wat is steganografie nu eigenlijk?

Definitie van steganografie

Steganografie kan worden gedefinieerd als de kunst van het verbergen van gegevens, zoals een bestand of een afbeelding. In Steganografie worden de nutteloze bits eigenlijk vervangen door de bruikbare bits om het vereiste bestand te verbergen. Dit kan met behulp van software die gratis of tegen betaling op de markt verkrijgbaar is.

Steganografie kan worden beschreven 'als de kunst om cruciale gegevens in een bestanden te verbergen, zodat deze veilig kunnen worden verzonden.' De applicaties zoals SteganPEG, OpenStego en dergelijke worden gebruikt om het ene bestand in het andere te verpakken. De applicaties die voor Steganography worden gebruikt, verbergen de bits van het vereiste bestand op een manier zodat het oorspronkelijke bestand zijn kenmerken niet verliest. Het kan als redelijk veilig worden beschouwd net zoals codering of hashing. Bij Steganografie is het moeilijker om te detecteren of er iets belangrijks is verzonden. Het wordt meestal toegepast op een plaats waar de gegevens in het geheim moeten worden verzonden.

Een sterk versimpeld voorbeeld

Verschillende kleurschakeringen kunnen er hetzelfde uitzien, maar twee 'dezelfde' kleuren kunnen anders gecodeerd zijn. Onze ogen zien het verschil niet of nauwelijks tussen een rood als #FF0000 en #F80000. Bij de eerste is de RGB-waarde 255,0,0 en bij de tweede wijkt Rood lichtjes af (248,0,0) terwijl Groen en Blauw onveranderd blijven.

Op deze manier zou je in een strak veld rood met afwisselende pixels FF0000 en F80000 (binair) kunnen communiceren. Op een een soortgelijke manier verstopten in het verleden spionnen boodschappen in afbeeldingen: vroeger bijvoorbeeld met onzichtbare inkt, later door JPG's te coderen.

Verborgen netwerkverkeer

Ook sommige malware gebruikt steganografie om informatie onder de radar te houden. Malware als 'ShadyRAT' probeerde zich verborgen te houden door instructies in te lezen via de HTML-code van een forum. De beheerders gebruikten comments in de websitecode om zo opdrachten uit te laten voeren door ShadyRAT.

Het voordeel daarvan is dat de malware niet naar een eventuele geblokkeerde C&C communiceert, maar naar een legitiem ogend forum. De malafide communicatie wordt zo minder snel opgepikt door netwerkmonitorende software.

Meer info over ShadyRAT kun je lezen in het rapport hieronder van McAfee.

Mcafee Shadyrat Report
PDF – 1,6 MB 464 downloads

Steganografie in afbeelding

Het kan ook gebruikt worden om trojans af te leveren bij slachtoffers, zoals enkele jaren geleden nog het geval was met ZeusVM. Malwarebytes vond een afbeelding van een serene lucht met ondergaande zon, maar als die via Google Afbeeldingen werd vergeleken met de oorspronkelijke afbeelding, ontdekten de onderzoekers een hoop toegevoegde code. Deze aangehaakte rommel bleek versleutelde code waarmee de bankingtrojan werd geïnstrueerd welke financiële portals op de korrel werden genomen.  Meer hier over in onderstaande rapport van Malwarebytes.

Hiding In Plain Sight
PDF – 2,0 MB 413 downloads

Beveiligers en aanvallers

Antimalware-pakketten weten dat ook en scannen afbeeldingen op dit soort verborgen code. Met als reactie dat de verborgen malafide code werd opgeknipt, waar antimalware rekening mee ging houden, waarna de code werd versleuteld. Maar de sleutel wordt daarbij meegeleverd, waar de antimalware op reageerde door naar deze sleutels te zoeken. Met als reactie dat steganografie in video's werd gebruikt. Kortom, het gebruikelijke kat-en-muis-spel tussen beveiligers en aanvallers. Meer info lees je in het onderstaande rapport van AVG.

Avg Technologies Vawtrak Banking Trojan Report
PDF – 1,2 MB 460 downloads

Veel programmeerwerk

De vraag is dan ook of malware verborgen in steganografie eigenlijk wel iets oplevert. Het is voor de makers een heel coole truc om de malafide code te verbergen, maar er zijn manieren om een trojan af te leveren of om malware te laten communiceren naar buiten toe die een stuk minder programmeerwerk vereisen.

Het financiële rendement is voor zo'n feature voor de doorsnee cybercrimineel niet zo hoog, een crimineel kan beter opzoek gaan naar niet bijgewerkt systeem dan een dure programmeur in te huren om een complexe exfiltratiemethode te schrijven. Een spearphishing aanval bijvoorbeeld.

Deze 'feature' zal dan ook af en toe opduiken. Meer info kun je lezen in het rapport van Sucuri hieronder.

New I Frame Injections Leverage PNG Image Metadata
PDF – 480,5 KB 460 downloads