Мы все знаем, что означает выражение «читать между строк». Однако, прежде чем мы начали общаться друг с другом с помощью различных технологий, некоторые рассматривали это заявление буквально и, например, писали секретные сообщения невидимыми чернилами между строк, казалось бы, обычного письма.
Техника, в которой автор сообщения, скрывает секретную информацию в чём-то, что выглядит невинно, это стеганография. Она так же стара, как и само письмо. В отличие от криптографии, которая изменяет сообщение так, чтобы его невозможно было прочитать, не имея ключа расшифровывания, целью стеганографии является сокрытие от чужих глаз глазами самого факта существования сообщения.
Как работает цифровая стеганография
Секретная информация может быть скрыта практически в каждом цифровом объекте: текстовом документе, лицензионном ключе и даже расширении файла. Например, редакторы веб-сайта Genius.com, посвященного анализу рэп-песен, использовали два типа апострофов в своих онлайн-текстах, которые в сочетании создали фразу «с поличным» в азбуке Морзе. Таким образом, они защитили свой уникальный контент от копирования.
Одним из наиболее удобных «контейнеров» для стеганографии являются мультимедийные файлы (изображения, звуковые и визуальные файлы и т.д.). Обычно они настолько велики сами по себе, что такое дополнение явно не меняет их размера.
Секретная информация может быть сохранена в метаданных файла или непосредственно в контенте. Давайте возьмем изображение в качестве примера: с точки зрения компьютера, это набор из сотен тысяч пикселей. У каждого из них есть «описание» – информация о цвете.
Для формата RGB, который используется в преобладающем количестве цветных изображений, это описание занимает до 24 бит памяти. Если секретная информация помещается в 1-3 бита в описании нескольких или даже всех пикселей, изменения во всем изображении будут невидимы. Учитывая огромное количество пикселей на изображениях, можно сделать вывод, что они могут содержать довольно много данных.
В большинстве случаев информация скрывается в пикселях, которые затем извлекаются с помощью специальных инструментов. С этой целью современные стеганографы иногда пишут специальные сценарии или добавляют необходимые функции в программы, предназначенные для других целей. Иногда они также используют готовый код, который можно легко найти в Интернете.
Как используется цифровая стеганография
Стеганография может использоваться во многих компьютерных технологиях. Вы можете скрыть текст в картинке, фильме или музыкальной дорожке для развлечения или, как в приведенном выше примере, для защиты файла от нелегального копирования.
Ещё один хороший пример – скрытые водяные знаки. Однако, первое, что приходит в голову о секретной информации – как физической, так и цифровой – это секретная переписка и шпионаж.
Дар небес для кибершпионов
Эксперты отметили рост интереса киберпреступников к стеганографии. Они заметили как минимум три шпионские кампании, в которых данные о жертвах отправлялись на контрольные серверы в виде фотографий и видео.
С точки зрения систем безопасности и сотрудников, задачей которых является мониторинг отправленного трафика, загруженные из интернета мультимедийные файлы не вызывают подозрений. И на это рассчитывали киберпреступники.
Шпионские мемы
Другая интересная шпионская программа получала команды в изображениях. Вредоносная программа общалась со своими создателями очень неочевидно: через мемы, опубликованные в Twitter.
Добравшись до компьютера жертвы, вредоносная программа открывала соответствующий твит и читала инструкцию из «смешной картинки».
Среди команд были, среди прочего:
- сделать скриншот рабочего стола
- сбор информации о запущенных процессах
- копирование данных из буфера обмена
- сохранить имена файлов из указанной папки
Код, который использует изображение
Мультимедийные файлы могут скрывать не только текст, но и вредоносный код. Использование стеганографии не делает изображение, фильм или музыкальный файл вредоносной программой, но такой ресурс можно использовать, чтобы скрыть вредоносную нагрузку во время антивирусного сканирования.
Например, в январе злоумышленники распространяли забавный баннер через рекламные сети. В нём не было настоящей рекламы, но был маленький белый прямоугольник. Внутри был скрипт, который должен был запускаться в браузере. Благодаря таким решениям компании могут, например, собирать статистику, связанную с отображением рекламы.
Сценарий киберпреступника распознает цвет пикселей на изображении и регистрирует их как набор букв и цифр. Это кажется довольно бесполезным, тем более что кроме белой фигуры больше ничего не видно. Тем не менее, программа распознала, что пиксели были не белыми, а почти белыми, а недостающее «почти» было заменено на вредоносный код.
Код из баннера направлял пользователя на сайт злоумышленников. Там троян ждал жертву в виде обновления Adobe Flash Player, что приводило к ещё одному «сюрпризу»: рекламное ПО.
Обнаружение стеганографии – очень сложная задача
Как отметил Саймон Уайзман на конференции RSA 2018, качественную стеганографию чрезвычайно трудно обнаружить. Как избавиться от неё. Есть способы встроить сообщения в изображения настолько глубоко, что они остаются в них даже после печати и сканирования, изменения размера и даже после редактирования.
Как мы уже упоминали, информация (содержащая код) извлекается из изображений и фильмов с помощью специального инструмента. Другими словами, мультимедийные файлы ничего не крадут на вашем компьютере и не загружают на него. Таким образом, вы можете защитить свое устройство от элементов вредоносных программ, которые скрывают текст или вредоносный код в мультимедийных файлах и извлекают их из них:
- Не спешите нажимать на ссылки и открывать вложения в полученных письмах. Прочитайте сообщение внимательно. Если у вас есть сомнения по поводу адреса отправителя или его содержимого, лучше игнорировать его.
- Если вам нужно что-то скачать, всегда используйте только надежные источники – например, когда речь идёт о приложениях, загружайте их из официальных магазинов и сайтов производителей. То же самое касается фильмов и музыки – не скачивайте их из неизвестных источников.
- Используйте надежное решение безопасности. Даже если оно не распознает встроенный код в изображении, оно обнаружит подозрительные действия, выполняемые другими вредоносными программными модулями.
