Steganografija – vis dažniau programišių naudojamas būdas slėpti pavogtai informacijai vaizduose

Analizuodami keletą kibernetinio šnipinėjimo kampanijų, „Kaspersky Lab“ ekspertai nustatė naują nerimą keliančią tendenciją. Siekdami paslėpti savo kenkėjiškos veiklos pėdsakus, kibernetiniai įsilaužėliai vis dažniau naudoja steganografiją – skaitmeninę pranešimų slėpimo vaizduose technologiją. Pastaruoju metu ji buvo panaudota daugybėje kenkėjiškų kibernetinio šnipinėjimo programų. Be to, keli kenkėjiškų programų pavyzdžiai sukurti siekiant pavogti finansinę informaciją.

Kaip nustatyta tipiniame tiksliniame kibernetiniame išpuolyje, grėsmės vykdytojas, patekęs į tinklo vidų, įsitvirtina ir renka vertingą informaciją, kad vėliau būtų perkeltas į komandų ir valdymo serverį. Daugeliu atvejų patikimi saugumo sprendimai ar profesionalūs saugumo analitikai gali nustatyti grėsmės vykdytojo buvimą tinkle kiekviename išpuolių etape, įskaitant eksfiltraciją. Taip yra todėl, kad eksfiltracijos dalis paprastai palieka pėdsakus, pvz., prisijungimą prie nežinomo arba juodojo sąrašo IP adreso. Tačiau kai kalbama apie išpuolius, kuriuose naudojama steganografija, duomenų vagystės aptikimas tampa sunkiu uždaviniu.

Pagal šį scenarijų nusikaltėliai pavogtą informaciją įterpia į mažojo vaizdo ar vaizdo failo kodo vidų ir vėliau siunčia jį į komandinį kontrolės serverį. Toks įvykis paprastai nesuaktyvina jokių saugumo signalų ar duomenų apsaugos technologijų. Štai kodėl po užpuoliko modifikacijų pats vaizdas nesikeičia vizualiai. Nekinta nei jo dydis, nei daugelis kitų parametrų. Taigi, nekyla jokių priežasčių nerimauti. Dėl to steganografija yra pelninga priemonė kenkėjiškiems veikėjams, kai kalbama apie pasirinkimo būdą, kaip pavogti duomenis iš užgrobto tinklo.

Pastaraisiais mėnesiais „Kaspersky Lab“ ekspertai užfiksavo mažiausiai tris kibernetinio šnipinėjimo operacijas, naudojančias šią technologiją elektroninėje erdvėje. Dar labiau nerimą kelia tai, kad ją aktyviai perima ir nuolatiniai kibernetiniai nusikaltėliai. „Kaspersky Lab“ ekspertai nustatė, kad jie naudojo atnaujintą „Trojos“ viruso versiją, įskaitant „Zerp“, „ZeusVM“, „Kins“, „Triton“ ir kitus. Dauguma šių kenkėjiškų programų šeimų paprastai nukreiptos į finansines organizacijas ir finansinių paslaugų naudotojus. Tai galėtų būti ženklas, kad kenkėjiškų programų autoriai automatiškai perims šią technologiją ir taip dar labiau apsunkins kenkėjiškų programų aptikimą.

„Kita vertus, naudojant rankinę analizę, palyginti lengva nustatyti atvaizdą, papildytą pavogtais slaptais duomenimis. Tačiau šis metodas yra ribotas, nes saugumo analitikas galėtų taip išanalizuoti tik labai ribotą vaizdų skaičių per dieną. Galbūt sprendimas gali būti dviejų analizės metodų taikymas. Siekdami nustatyti ir aptikti tokius išpuolius, „Kaspersky Lab“ naudojame automatinės analizės ir žmogaus intelekto technologijos derinį. Tačiau šios srities galimybės dar tobulinamos, o mūsų tyrimų tikslas – atkreipti pramonės dėmesį į problemą ir užtikrinti, kad būtų sukurtos patikimos ir prieinamos technologijos, leidžiančios aptikti steganografiją kenkėjiškų programų išpuoliuose,“ – sako Aleksejus Šulminas (Alexey Shulmin), „Kaspersky Lab“ saugumo ekspertas.

Išsamiai sužinoti apie programišių naudojamus steganografijos tipus ir galimus aptikimo būdus galite mūsų tinklaraštyje Securelist.com

 

Apie „Kaspersky Lab“

„Kaspersky Lab“ – pasaulinė bendrovė, jau 20 metų dirbanti kibernetinio saugumo srityje. Bendrovės sukauptos žinios ir 20 metų patirtis sudaro apsaugos sprendimų ir paslaugų, užtikrinančių viso pasaulio verslo, ypatingos svarbos infrastruktūros, vyriausybės ir naudotojų saugumą, pagrindą. Didelį „Kaspersky Lab“ bendrovės portfelį sudaro pažangiausi galinių įrenginių apsaugai skirti produktai ir daugybė specializuotų apsaugos sprendimų bei paslaugų, skirtų kovoti su sudėtingomis ir nuolat evoliucionuojančiomis kibernetinėmis grėsmėmis. Daugiau nei 400 mln. naudotojų ir 270 tūkst. verslo klientų apsaugomi „Kaspersky Lab“ technologijų.


Rugpjūčio 8, 2017