Стеганография как способ спрятать информацию известна с давних времен. В последнее время ее стали упоминать в связи с некоторыми формами кибератак. В этой статье рассказывается о видах стеганографии, примерах ее использования и о том, что означает стеганография в контексте кибербезопасности.
Что такое стеганография?
Стеганография — это способ спрятать информацию внутри другой информации или физического объекта так, чтобы ее нельзя было обнаружить. С помощью стеганографии можно спрятать практически любой цифровой контент, включая тексты, изображения, аудио- и видеофайлы. А когда эта спрятанная информация поступает к адресату, ее извлекают.
Иногда контент, который нужно скрыть с помощью стеганографии, шифруют, прежде чем поместить внутрь файла другого формата. Даже если контент не зашифрован, он может быть каким-либо другим образом обработан, чтобы его было сложнее обнаружить.
Стеганографию иногда сравнивают с криптографией, поскольку и то и другое – это способы секретной коммуникации. Однако между ними есть разница, поскольку при стеганографии данные при отправке не шифруются, а при получении не нужен ключ для расшифровки.
Термин «стеганография» происходит от греческих слов «στεγανός» («скрытый») и «γράφω» («пишу»). На протяжении тысячелетий стеганографию в разных формах использовали для сохранения тайны переписки. Например, в древней Греции послания вырезали на деревянных дощечках, а затем скрывали под слоем воска. Римляне использовали разные типы невидимых чернил, которые проявлялись под воздействием тепла или света.
Понятие «стеганография» используется и в кибербезопасности, потому что вымогатели и другие злоумышленники часто скрывают информацию при атаке на жертву. Например, они могут прятать данные, маскировать вредоносный код или отправлять инструкции для командных серверов, помещая все это в безобидные на первый взгляд текстовые, графические, аудио- или видеофайлы.
Как работает стеганография
Стеганография позволяет скрывать информацию так, чтобы не вызвать подозрений. Одна из самых распространенных техник стеганографии — LSB (least significant bit –«наименее значащий бит»): секретные данные встраиваются в наименее значащие биты медиафайла. Рассмотрим это подробнее.
- Каждый пиксель в изображении состоит из трех байтов данных, соответствующих красному, зеленому и синему цветам. Некоторые форматы изображения содержат дополнительный, четвертый байт для прозрачности, так называемый «альфа-канал».
- LSB-стеганография позволяет изменять последний бит каждого из этих байтов так, чтобы спрятать один бит информации. Таким образом, чтобы спрятать 1 Мб данных с помощью этой техники, понадобится графический файл объемом 8 Мбайт.
- Изменение последних битов пикселя не влияет на зрительное восприятие картинки, так что при сравнении оригинального и измененного файлов разница незаметна.
Та же техника может применяться к другим медиафайлам, таким как звук или видео, когда информация встраивается в файл практически без изменения аудио- или видеоряда.
Еще одна техника стеганографии предполагает замену букв или слов. При этом текст секретного сообщения внедряется в другой текст, гораздо большего размера, а слова размещаются через определенные интервалы. Хотя метод замены прост в использовании, но при этом конечный текст может выглядеть странно и неестественно, поскольку секретные слова могут по смыслу выпадать из предложений.
Другие техники стеганографии позволяют скрывать целые разделы жестких дисков или встраивать данные в заголовки файлов и сетевых пакетов. Эффективность этих техник определяется тем, какой объем данных они позволяют скрыть и насколько легко эти данные обнаружить.
Виды стеганографии
Существует пять основных видов цифровой стеганографии.
- Текстовая стеганография
- Стеганография в изображениях
- Стеганография в видео
- Стеганография в звуке
- Сетевая стеганография
Рассмотрим каждый из них.
Текстовая стеганография
Текстовая стеганография означает сокрытие данных внутри текстовых файлов. Это может быть форматирование текста, изменение слов внутри текста, использование контекстно-свободных грамматик для генерации читабельных текстов или генерация случайных последовательностей символов.
Стеганография в изображениях
Это означает сокрытие данных внутри графических файлов. Этот вид стеганографии часто используют, чтобы скрыть информацию, поскольку цифровое изображение состоит из большого числа элементов и есть много способов спрятать данные внутри него.
Стеганография в звуке
Секретные сообщения встраиваются в аудиосигнал, что изменяет бинарную последовательность соответствующего аудиофайла. Встраивание секретных сообщений в цифровой звук — это более сложный процесс по сравнению с другими.
Стеганография в видео
Данные прячутся внутрь цифровых видеоформатов. Стеганография в видео позволяет скрывать большие объемы данных в движущемся потоке изображения и звука. Есть две разновидности стеганографии в видео:
- встраивание данных в некомпрессированное видео с последующей компрессией;
- встраивание данных прямо в сжатый поток видео.
Сетевая стеганография
Сетевая, или протокольная, стеганография — это техника встраивания информации в сетевые протоколы, используемые при передаче данных, такие как TCP, UDP, ICMP и др.
Стеганография или криптография?
Стеганография и криптография преследуют одну и ту же цель — защитить сообщение или информацию от посторонних лиц, но эта цель достигается с помощью разных механизмов. Криптография превращает информацию в зашифрованный текст, который может быть прочитан только с помощью ключа для расшифровки. Это значит, что если кто-то перехватил сообщение, он сразу же поймет, что информация была зашифрована. Стеганография же не шифрует информацию, вместо этого она скрывает само наличие сообщения.
Стеганография и NFT
Есть некоторое сходство между стеганографией и NFT (невзаимозаменяемыми токенами). Стеганография — это технология сокрытия одних файлов внутри других, будь то изображение, текст, видео или другой формат.
При создании NFT в него обычно можно добавить дополнительный контент, который будет виден только владельцу этого NFT. Это может быть что угодно: HD-контент, сообщения, видео, доступ к секретным сообществам, промокоды и даже смарт-контракты или активы в онлайн-играх.
По мере развития мирового арт-сообщества меняются и технологии NFT. В будущем создание NFT, содержащих частные метаданные, будет все более популярно, а сфера их применения — все более широкой, включая гейминг, платные подписки, распространение билетов на мероприятия и т. д.
Применение стеганографии
В последнее время стеганография в основном применяется в компьютерной сфере, где цифровые данные служат носителями информации, а сети — высокоскоростными каналами ее доставки. Стеганография используется в следующих случаях.
- Обход цензуры: новостные сообщения рассылаются в обход цензуры и без опасения, что источник сообщения будет раскрыт.
- Нанесение цифровых водяных знаков: невидимые водяные знаки не искажают изображение, при этом его несанкционированное использование всегда можно отследить.
- Защита информации: используется правоохранительными и государственными органами для тайной передачи третьим лицам особо важной информации.
Как используют стеганографию для кибератак
Злоумышленники могут использовать стеганографию для встраивания вредоносных данных в безобидные на первый взгляд файлы. Поскольку стеганография требует серьезных усилий и навыков, ее обычно применяют опытные злоумышленники, преследующие конкретные цели. Вот некоторые виды кибератак с использованием стеганографии.
Встраивание вредоносной нагрузки в цифровые медиафайлы
Чаще всего для этого идут в ход цифровые изображения, поскольку они содержат много избыточных данных, которые можно ловко использовать без вреда для внешнего вида изображения. Графические файлы так широко применяются в цифровом мире, что почти не вызывают подозрений с точки зрения их безопасности. Видео- и аудиофайлы, документы и даже подписи в электронных письмах — это тоже потенциальные средства доставки вредоносной нагрузки с использованием стеганографии.
Программы-вымогатели и извлечение данных
Разработчики программ-вымогателей тоже поняли преимущества стеганографии в планировании атак. Преступники могут использовать ее на стадии извлечения данных. Благодаря стеганографии конфиденциальные данные встраиваются внутрь обычной переписки и извлекаются, никем посторонним не раскрытые. Поскольку кража данных все чаще становится главной целью кибератак, специалисты по безопасности совершенствуют способы обнаружения утечки, часто путем мониторинга зашифрованного сетевого трафика.
Скрытые команды внутри веб-страниц
Злоумышленники могут прятать команды для своих имплантов в пустых полях веб-страниц, в журналах отладки на форумах, скрытно встраивать похищенные данные в изображения и поддерживать непрерывность этого процесса путем хранения зашифрованного кода в определенных местах.
Вредоносное рекламное ПО
Злоумышленники, специализирующиеся на вредоносных рекламных кампаниях, также могут использовать стеганографию. Они могут встраивать вредоносный код в рекламные баннеры, при загрузке которых код активируется и перенаправляет пользователей на страницу, содержащую набор эксплойтов.
Примеры использования стеганографии для кибератак
Скимминг в интернет-магазинах
В 2020 г. голландская компания Sansec, специализирующаяся на безопасности электронной торговли, опубликовала расследование. В нем говорилось, что злоумышленники встроили веб-скиммеры в файлы векторной графики SVG на платежных страницах интернет-магазинов. При этом вредоносная нагрузка скрывалась в векторных изображениях, а декодер хранился отдельно в других элементах веб-страниц.
Клиенты, которые вводили платежные данные на взломанных страницах, не замечали ничего подозрительного, поскольку эти изображения представляли собой логотипы хорошо известных компаний. Поскольку вредоносная нагрузка была скрыта внутри того, что выглядело как корректно использованный синтаксис SVG-элемента, стандартные сканеры, настроенные на поиск неправильного синтаксиса, не могли выявить вредоносную активность.
Случай SolarWinds
В том же 2020 году группа хакеров спрятала вредоносное ПО внутрь официального обновления от американской компании SolarWinds — разработчика популярной платформы для управления IT-инфраструктурой. В результате хакеры успешно взломали системы Microsoft, Intel и Cisco, а также различных правительственных учреждений США. После этого с помощью стеганографии они замаскировали похищаемую информацию под внешне безобидные XML-файлы, которые использовались в теле HTTP-ответов от серверов управления. Команды в этих файлах были замаскированы под другие строки текста.
Промышленные предприятия
И снова 2020 год. Многие предприятия Великобритании, Германии, Италии и Японии подверглись масштабной атаке с использованием стеганографических документов. Хакеры обошли системы защиты, разместив на солидных фото-хостингах, таких как Imgur, стеганографическое изображение, способное заражать Excel-документы. Скрытый скрипт, встроенный в изображение, загружал вредоносную программу Mimikatz, с помощью которой злоумышленники извлекали пароли Windows.
Как обнаружить использование стеганографии
Поиском стеганографии занимается стегоанализ. Есть разные инструменты, которые позволяют выявить скрытые данные, например StegExpose и StegAlyze. Для обнаружения аномалий в файлах специалисты могут использовать и более общие инструменты анализа, например шестнадцатеричные HEX-редакторы.
Однако найти файлы, измененные с помощью стеганографии, — это непростая задача, ведь пользователи ежедневно загружают в соцсети миллионы изображений, так что невозможно понять, с чего начинать поиск скрытых данных.
Защита от атак на основе стеганографии
Использовать стеганографию для атак сравнительно легко. Защититься от таких атак гораздо сложнее, так как их организаторы действуют все изощреннее и изобретательнее. Вот некоторые способы защиты.
- Тренинги по кибербезопасности помогут повысить уровень знаний о рисках, связанных с загрузкой медиафайлов из ненадежных источников. На этих тренингах также научат распознавать фишинговые письма, содержащие вредоносные файлы, и понимать серьезность угрозы, которую представляет собой стеганография. Индивидуальным пользователям прежде всего нужно обращать внимание на графические файлы необычно большого размера. Это может быть признаком того, что они подверглись стеганографии.
- Организациям для большей безопасности следует внедрить фильтрацию трафика, а также следить за регулярным обновлением ПО и появлением новых патчей.
- Предприятиям также следует использовать современные технологии защиты конечных точек, которые не ограничиваются статическим анализом, набором базовых сигнатур и другими устаревшими элементами защиты. Скрытый в изображениях вредоносный код и другие виды обфускации гораздо проще выявить с помощью динамического поведенческого анализа. Предприятиям нужно сосредоточить усилия по поиску угроз непосредственно на конечных точках, где обфускацию и шифрование легче обнаружить.
- Предприятиям также следует использовать аналитическую информацию об угрозах из разных источников, чтобы быть в курсе последних тенденций, включая случаи атак с использованием стеганографии в их собственной отрасли.
- Комплексное антивирусное решение поможет обнаруживать, помещать в карантин и удалять вредоносный код с ваших устройств. Современные антивирусные продукты обновляются автоматически, обеспечивая защиту от новейших вирусов и других видов вредоносного ПО.
Рекомендуемые продукты:
- Kaspersky Premium с функцией Менеджера пароей
- Бесплатная пробная версия Kaspersky Premium на 30 дней
- Kaspersky Password Manager
- Kaspersky Secure Connection
Статьи по теме: