Hackers sluizen gestolen informatie weg met steganografie

0

Om criminele activiteiten op gecompromitteerde computerapparatuur te verhullen, passen hackers steeds vaker steganografie toe, de digitale variant van een techniek om berichten in afbeeldingen te verbergen. Dat zegt Kaspersky lab naar aanleiding van een analyse van cyberspionage- en cybercriminele campagnes.

Er zijn diverse malware-activiteiten opgedoken die zich bedienen van de techniek, die cyberspionage en diefstal van financiële gegevens maskeert.

Onzichtbare exfiltratie

Bij een typische gerichte cyberaanval dringen aanvallers een netwerk binnen om vervolgens waardevolle informatie te vergaren en naar de commando- en controleserver (C&C) over te zetten. Beveiligingsoplossingen of professionele beveiligingsanalyses zullen doorgaans in elk stadium van een aanval ongewenste gasten opmerken.

Dit geldt ook bij exfiltratie, die meestal sporen achterlaat, bijvoorbeeld in een logboek vastgelegde links naar onbekende of blacklisted IP-adressen. Maar bij steganografie is de detectie van data-exfiltratie erg moeilijk.

Met steganografie slaan indringers de te stelen informatie rechtstreeks op in de code van een afbeelding of videobestand, dat vervolgens naar de C&C wordt verzonden. Het is onwaarschijnlijk dat zo’n actie beveiligingsalarmen zal doen afgaan of gegevensbeschermingstechnologie in werking zal zetten.

De afbeelding is namelijk niet zichtbaar veranderd, de bestandsgrootte is nog hetzelfde en er zijn ook geen andere parameters gewijzigd die reden geven tot bezorgdheid. Dit maakt steganografie tot een lucratieve techniek voor cybercriminelen om data uit een aangevallen netwerk te smokkelen.

Steganografie wordt mainstream

De afgelopen maanden is Kaspersky Lab op ten minste drie cyberspionage-operaties gestuit die gebruikmaken van de techniek. Het is zorgwekkend dat de methode naast cyberspionage ook door gewone cybercriminelen is opgemerkt. De onderzoekers hebben steganografie al toegepast gezien in bijgewerkte versies van Trojans als Zerp, ZeusVM, Kins en Triton. De meeste van deze malware-families richten zich doorgaans op financiële organisaties en gebruikers van financiële diensten. Dit laatste kan een signaal zijn dat malwaremakers de techniek binnenkort massaal zullen omarmen, wat de complexiteit van malware-detectie zal doen toenemen.

“Dit is niet de eerste keer dat we zo’n aanvankelijk zeer geavanceerde dreiging langzaam maar zeker mainstream zien worden, maar de ontwikkeling van de steganografietechniek is een groeiende uitdaging”, zegt Jornt van der Wiel, security researcher bij Kaspersky Lab Benelux.

Handmatige detectie simpel

“De bestanden die door de aanvallers worden gebruikt als ‘transportmiddel’ voor gestolen informatie zijn zeer omvangrijk, en hoewel er algoritmen bestaan die de techniek automatisch kunnen detecteren, zou grootscheepse implementatie hiervan veel rekenkracht vergen en kostbaar zijn. Het is echter relatief eenvoudig om met handmatige analyse een afbeelding met gestolen gegevens te onderscheppen. Deze methode heeft alleen zijn beperkingen, omdat een beveiligingsanalist per dag slechts een zeer beperkt aantal afbeeldingen kan analyseren.”

“Bij Kaspersky Lab gebruiken we een combinatie van technologieën voor geautomatiseerde analyse en handmatig onderzoek om zulke aanvallen te identificeren en te detecteren. Er is op dit gebied echter ruimte voor verbetering en met onze onderzoeken willen we de aandacht van de security-industrie op deze uitdaging vestigen en de ontwikkeling van betrouwbare en betaalbare technologieën stimuleren, waardoor het gebruik van steganografie bij malware-aanvallen kan worden vastgesteld.”

Felix Speulman

Hoofdredacteur van IT Executive, met een interesse die de techniek voorbij gaat, altijd op zoek naar de menselijke factor. Een kwart eeuw ervaring in alles waaraan geschreven taal te pas komt. Van huis uit historicus met een sterke oriëntatie op politiek en maatschappij. Bereikbaar via felix[at]ictmedia.nl.