Stegomalware czyli o tym, że obrazki też mogą atakować system

[ichito]

Steganografia – nauka o komunikacji w taki sposób, by obecność komunikatu nie mogła zostać wykryta. W odróżnieniu od kryptografii (gdzie obecność komunikatu nie jest negowana, natomiast jego treść jest niejawna) steganografia próbuje ukryć fakt prowadzenia komunikacji. Techniki steganograficzne stosowane są także do znakowania danych cyfrowych.
(...)
Pierwsze wzmianki o użyciu technik steganograficznych można odnaleźć w pismach Herodota z V wieku p.n.e. Opisuje on przesłanie informacji na tabliczce do pisania (drewnianej desce pokrytej woskiem) zapisanej nie w sposób tradycyjny, poprzez wykonanie liter w wosku, lecz umieszczenie przekazu bezpośrednio na desce. Zapisana tym sposobem deska po pokryciu jej woskiem nie wzbudzała podejrzeń. Herodot w "Dziejach" opisuje też inny sposób tajnego przekazu informacji: tyran Histiajos przetrzymywany przez króla perskiego Dariusza postanowił przesłać informację do swego zięcia Arystagorasa z Miletu, tak aby mogła się ona przedostać mimo pilnujących go strażników. Aby tego dokonać na wygolonej głowie swego niewolnika wytatuował przesłanie. Kiedy niewolnikowi odrosły włosy posłał go z oficjalnym, mało istotnym listem.

Tak mówi Wikipedia

[Aby zobaczyć linki, zarejestruj się tutaj]

a za przykład podaje te 2 obrazki poniżej (opisy oryginalne)

 
Zdjęcie, w którym na 2 najmniej znaczących bitach obrazu ukryto zdjęcie kota przedstawione na dole.



Zdjęcie ukryte za pomocą steganografii w powyższym zdjęciu drzewa.

I o obrazkach właśnie sobie poopowiadamy, bo choć metoda wydaje się być nieco egzotyczna, okazuje się być skuteczna, czego przykładem jest opisywany na blogu TrendMicro w ubiegłym roku przypadek trojana bankowego Zeus umieszczonego w tym oto niewinnie wyglądającym krajobrazie

[Aby zobaczyć linki, zarejestruj się tutaj]

źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

czy szkodliwy kod (klasyfikowany jako ANDROIDOS_SMSREG.A) zaszyty w ikonach aplikacji na Android

[Aby zobaczyć linki, zarejestruj się tutaj]

źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

Przykładem może być również wykryty i opisany niedawno przez analityków zespołu Dell SecureWorks szkodnik nazwany Stegoloader wykryty m.in. w tym obrazku



To jak się okazuje bardzo przemyślne "stworzenie", którego bazowy moduł (ang. deployment module) oczywiście ukrywa się w obrazku PNG, a jego zadaniem jest pobranie z sieci i uruchomienie pozostałych elementów szkodnika. Ten moduł bazowy przejawia specyficzne zachowanie, ponieważ zanim rozpocznie swoją aktywność sprawdza czy przypadkiem nie jest uruchamiany w środowisku analitycznym:
- bada zachowanie kursora myszy i jeśli kursor jest często aktywny lub wcale nie jest aktywny moduł się zatrzymuje bez żadnej podejrzanej aktywności
- sprawdza czy nie jest uruchamiany za pomocą procesów wskazujących na użycie narzędzi analitycznych.

Dokładna analiza zachowania Stegoloadera przedstawiona jest w poniższym artykule, ale warto zwrócić uwagę, że efektem jego zainstalowania w systemie mogą być komponenty odpowiedzialne za:
- tworzenie listy ostatnio używanych przez użytkownika dokumentów, która jest przesyłana na zdalne serwery szkodnika
- wysyłanie na swoje serwery danych o geolokacji zainfekowanej maszyny, co jest realizowane poprzez uruchamianie IE i wizytę na dwóch konkretnych stronach, które zwracają informację o IP użytkownika
- kradzież haseł do popularnych aplikacji wykorzystujących protokoły sieciowe POP, IMAP, FTP i SSH...tu sprawcą jest moduł nazwany "Pony password stealer"

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

Na sam koniec dochodzimy do nie tyle szkodnika, co jego idei, którą autor Saumil Shah opisał w następujący sposób w wywiadzie dla "Motherboard"

"All he needs to hack someone is an image file, nothing more."
(...)
"I don’t need to host a blog, I don’t need to host a website at all. I don’t even need to register a domain, I can take an image, upload it somewhere and if I just point you toward that image, and you load this image in a browser, it will detonate."

[Aby zobaczyć linki, zarejestruj się tutaj]

Autor powiedział"A good exploit is one that is delivered with style"...i wymyślił Stegosploit - tak nazwał swojego szkodnika - który został zaprezentowany na konferencji Hack In The Box 2015 i którego działanie opiera się umieszczeniu szkodliwego kodu wewnątrz pikseli obrazka w postaci "prawdziwego" kodu HTML uruchamianego jako prawidłowy skrypt Java. Jak autor zaznacza nie ma znaczenia w jakiego typu obrazku ten kod zamieścimy...mowa jest o najpopularniejszych jak JPG, PNG, GIF czy BMP.
Metoda jest inna wobec wcześniej używanych ze względu nie tylko na brak ograniczenia w rodzaju plików graficznych, ale także w wielokierunkowości działania i tym samym wielu możliwych scenariuszy ataków trudnych do przewidzenia. Wg autora żadna z obecnych metod detekcji nie jest w stanie wykryć takiego exploita.

Poniżej kilka obrazków z wygłoszonej na konferencji prezentacji, które pokazują niektóre możliwości Stegosploita i sposób jego działania

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Materiały źródłowe

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

------------------
edit:
Niestety przypadkowo zamiast włączyć podgląd włączyłem opublikowanie niepełnego tekstu, stąd jego pierwsza wersja różni się znacznie od tej końcowej