2.7. Стеганография в кибератаках

Сегодня наблюдается новая и опасная тенденция: все больше и больше разработчиков вредоносного ПО и средств кибершпионажа прибегает к использованию стеганографии.

Первый пример такого использования был зафиксирован в случае с вредоносным ПО «Duqu» в 2011 году. Оно шифровало данные и скрывало их внутри графических файлов «JPEG», позже отправляемых на сервер управления. В 2014 году аналогичная техника использовалась в банковском трояне «Zeus».

«Duqu» версии 1.0 была обнаружена в Венгрии, Австрии, Индонезии, Великобритании, Судане и Иране. Оно активно эксплуатировало «0day» в «Windows», а дополнительное вредоносное ПО доставлялось в системы жертв под видом «MSI» (англ. Microsoft Software Installers). Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что сделало его обнаружение крайне сложным.

Платформа «Duqu» версии 2.0 была сконструирована таким образом, что не нуждалась в закреплении. Она почти полностью базировалась в памяти операционной системы без применения каких-либо механизмов закрепления.

Потом было ПО «Shady RAT», «Zbot», «Stegoloader», «DNSChanger», «Sundown», «Cerber», «TeslaCrypt» и другие. Детектировать такие вещи непросто, поэтому проникновение вирусов и утечки данных через них могут долго оставаться незамеченными специалистами служб информационной безопасности.

В 2006 году начались атаки трояна «Shady RAT», которые продолжаются до сих пор и исходят из Китая. В 2008 году они были направлены на руководящие органы летней Олимпиады в Пекине. В 2011 году кибернападению подверглись более 70 корпораций и правительственных организаций по всему миру, в том числе оборонные подрядчики ООН.

В 2011 году компания-разработчик антивирусного программного обеспечения «McAfee» сообщила о 5-летней хакерской атаке «Shady RAT», которая работает с помощью рассылки зараженных «трояном» электронных писем сотрудников выбранных организаций. После открытия полученного письма «троян» устанавливается на компьютер.

Среди 49 жертв атаки были Олимпийский комитет ООН, Ассоциация государств Юго-Восточной Азии, компании Японии, Швейцарии, Великобритании, Индонезии, Дании, Сингапура, Гонконга, Германии, Индии и правительств США, Тайваня, Южной Кореи, Вьетнама, Канады.

В настоящее время список вредоносного финансового ПО возглавляет программа «Zbot», на ее долю приходится почти 16 % всех кибератак в финансовой сфере. Она участвовала в 74 % кибератак в Казахстане, направленных на взлом систем дистанционного банковского обслуживания и счетов пользователей.

В 2011 году с помощью «Zbot» в России была осуществлена передача всей необходимой банковской информации на сервер злоумышленника и кража пользовательских данных из банка. Когда сотрудники МВД начали расследование, выяснилось, что он вместе с сообщниками уже похитил около 300 миллионов рублей со счетов почти 50 компаний.

В 2012 году был впервые обнаружен троян «Stegoloader», который хранил свои модули в «PNG» изображениях. Он распространялся посредством пиратских ресурсов в генераторах ключей к ПО. После того как «Stegoloader» попадал в систему, он подгружал с безопасных источников «PNG» изображения с модулями, спрятанными в них с помощью стегосистемы.

Загруженные трояном изображения формата «PNG» выглядят как вполне обычные, но в их пикселях записан код модулей «Stegoloader». Считывая этот код и подключая модули, троян «собирает» себя прямо в оперативной памяти персонального компьютера.

После того как троян «собрался», он начинает похищать с компьютера и отправлять на удаленный сервер различную информацию, включая историю веб-серфинга, пароли, списки недавно открытых документов и т. д. Один из модулей предназначен для поиска на компьютере данных об анализе угроз, который специалисты по информационной безопасности проводят с помощью специального ПО.

«Stegoloader» оснащен множеством механизмов защиты от обнаружения. Перед подключением вредоносных модулей загрузчик проверяет: не находится ли он в среде эмулятора антивирусной программы. Например, он посылает множество запросов к функции определения позиции курсора мыши «GetCursorPos». Если значение этой функции постоянно, загрузчик мгновенно прекращает свою работу. Таким образом, антивирус не видит никакой подозрительной активности.

«DNS Changer» — компьютерный вирус, предназначенный для изменения «DNS» (англ. Domain Name System) сервер-адреса компьютера жертвы. Это делается таким образом, что удаленный хакер может перенаправить веб-браузер на вредоносные сайты, специально предназначенные для чтения финансовой информации жертвы. Вирус может изменить ваши настройки интернета и перехватить ваши личные данные, когда вы отправляете их через интернет.

Кроме того, «DNSChanger», также известный как «Alureon», может замедлить работу компьютера, добавить иконки на рабочий стол, уменьшить доступную память и «загрузить» компьютер незапрашиваемыми всплывающими окнами с рекламой.

В апреле 2014 года был обнаружен троян под названием «Lurk», который, как и «Stegoloader», также подгружал модули, спрятанные в компьютерные изображения. В начале 2015 года был обнаружен банковский троян «Vawtrak» (другие названия — «Neverquest» и «Snifula»), также использующий эту технологию.

В июне 2015 года был зафиксирован вирус «Sundown», который является лишь сборкой эксплойтов, украденных у других хакеров, и вредоносных программ, которые можно бесплатно получить в интернете. В ходе анализа выяснилось, что в «Sundown» присутствуют 4 эксплойта для уязвимостей в программах «Flash», «Internet Explorer» и «Microsoft Silverlight».

В 2015 году наблюдался резкий рост количества атак с использованием вымогательского ПО «TeslaCrypt». Вирус был ориентирован, в том числе на геймеров — 50 из 185 шифруемых «TeslaCrypt» типов файлов были связаны с сохранениями игр и пользовательским контентом. Тем не менее, в процедуре шифрования вымогательского ПО была обнаружена уязвимость, и в апреле 2015 года исследователи «Cisco» выпустили утилиту для расшифровки пострадавших от вируса файлов.

Хакеры рассылают «TeslaCrypt» с помощью фишинговых писем с вредоносным вложением. В сообщениях киберпреступники просят подтвердить недавно проведенную банковскую операцию, открыв прикрепленный файл. Во вложении содержится сценарий «JavaScript», обходящий большинство антивирусных программ и загружающий на компьютер жертвы «TeslaCrypt».

В случае успешной атаки вымогательское ПО шифрует все файлы и изменяет их расширение на «.VVV». На рабочем столе появится текстовый документ или страница «HTML» с требованием выкупа в биткоинах.

В 2017 году был обнаружен «Cerber» — крупнейшая франшиза сервиса «RaaS» (англ. Ransomware-as-a-service — вымогатель как услуга). «Ransomware» представляет собой вирус, который попадает на компьютер жертвы и шифрует или блокирует на нем все файлы и данные, предлагая заплатить выкуп за дешифровку. «Cerber» позволяет любым пользователям, не владеющим технологиями, запускать собственные независимые вымогательские атаки.

На сегодняшний день «Cerber» запустил по всему миру более 160 активных кампаний с общим ежегодным прогнозируемым доходом около 2,3 миллиона долларов. Каждый день в среднем запускаются 8 новых кампаний, например, в июле 2016 исследователи обнаружили около 150 тысяч жертв в 201 стране и регионе.

«Cerber» распространился по всему миру и достиг даже Украины. Основным путем заражения являются спам-письма, которые пользователь получает в рамках мошеннических рассылок. Как правило, вирус прикреплен к файлу, который приложен к письму. С помощью технологий социальной инженерии мошенники заинтересовывают потенциальную жертву и заставляют ее открыть вложенный документ. После чего происходит заражение.

При этом ПК ведет себя довольно необычно, и это может стать сигналом тревоги для пользователя. Дело в том, что троян инициирует перезагрузку компьютера. После чего проверяет свою локацию (в ранних версиях он не шифровал ПК в странах бывшего СНГ) и приступает к шифрованию данных.

Новый вариант программы-вымогателя «Cerber» теперь нацелился на пользователей приложения электронной почты «MS Office 365». Он использует уязвимость «0-day», отправляя фишинговые письма с прикрепленными вредоносными файлами.

Как и многие другие программы-вымогатели, «Cerber» шифрует файлы пользователя и требует заплатить 1,24 биткойна (более 800 долларов) за ключ дешифрования, позволяющий восстановить файлы. Однако «Cerber» также использует аудиосистему компьютера для воспроизведения своего уведомления о необходимости заплатить выкуп.

Большинство антивирусных решений на сегодняшний день не защищают от стеганографических атак или защищают слабо, между тем, нужно понимать, что каждый заполненный контейнер опасен. В нем могут быть скрыты данные, которые эксфильтруются шпионским ПО, или коммуникация вредоносного ПО с командным центром, или новые модули вредоносного ПО.

В 2017 году «Лаборатория Касперского» наблюдала использование стеганографии в следующих вредоносных программах и средствах кибершпионажа:

— Microcin (AKA six little monkeys);

— NetTraveler;

— Zberp;

— Enfal (ранее — Zero.T);

— Shamoon;

— KinS;

— ZeusVM;

— Triton (Fibbit).

Авторы вредоносного ПО все активнее используют стеганографию из-за возможности:

— скрыть сам факт загрузки/выгрузки данных, а не только сами данные;

— обойти «DPI»-системы, что актуально в корпоративных сетях;

— позволить обойти проверку в «AntiAPT»-продуктах, поскольку последние не могут обрабатывать все графические файлы (их слишком много в корпоративных сетях, а алгоритмы анализа довольно дорогие).

Использование стеганографии сегодня — очень популярная идея среди авторов вредоносного и шпионского ПО. Его очень трудно обнаружить, поскольку они выглядят как обычные графические (и не только) файлы.

Все существующее ПО для исследования стеганографии по сути являются «PoC» (англ. Proof-of-Concept), и их логика не может быть реализована в промышленных средствах защиты из-за низкой скорости работы, не слишком высокого уровня исследования, и даже иногда — из-за ошибок в математике.

Как пример вредоносного ПО, которое использует стеганографию для сокрытия своей коммуникации, рассмотрим вредоносный загрузчик «Zero.T», обнаруженный «Лабораторией Касперского» в конце 2016 года. Не останавливаясь на попадании в систему и закреплении в ней, отметим, что «Zero.T» скачивает полезную нагрузку в виде «Bitmap» файлов:

— fsguyidll.bmp,

— fslapi.bmp,

— fslapi.dll.bmp.

Затем обрабатывает их особым образом, после чего получает вредоносные модули:

— fsguyidll.exe,

— fslapi. dll,

— fslapi.dll.bmp.

На первый взгляд эти 3 файла «BMP» оказались картинками, которые являлись заполненными контейнерами. В каждом из них несколько (алгоритм допускает вариативность) младших значащих бит были заменены на шпионскую нагрузку.

Существуют разные способы, как определить, является ли картинка заполненным контейнером или нет. Но самый простой из них — визуальная атака. Суть его заключается в формировании новых изображений на основе исходного, состоящих из НЗБ различных цветовых плоскостей.

После такой обработки на втором и третьем изображении будут заметны области с высокой энтропией (высокой плотностью данных) — это и есть внедренное сообщение. С одной стороны это просто, потому что аналитик (и даже простой пользователь!) может с легкостью увидеть внедренные данные. А с другой стороны сложно потому, что такой анализ довольно трудно автоматизировать.

К счастью, ученые уже давно разработали несколько методов выявления заполненных контейнеров, основанных на статистических характеристиках изображения. Но все они основываются на предположении, что внедренное сообщение имеет высокую энтропию. Чаще всего это действительно так: поскольку емкость контейнера ограничена, сообщение перед внедрением сжимается и/или шифруется, т. е. его энтропия повышается.

Однако вредоносный загрузчик «Zero.T» не сжимает свои модули перед внедрением. Вместо этого он увеличивает количество используемых НЗБ: 1,2 или 4. Так использование большего количества НЗБ приводит к появлению визуальных артефактов в изображении, заметных простому пользователю.