Стеганография

Впервые этот термин упоминался в 1499 году и уже тогда под этим словом подразумевалась передача информации путем сохранения в тайне самого факта передачи. Как ни странно, в наши дни стеганография не получила широкого признания в среде хакеров, хотя нельзя сказать, чтобы к ней не прибегли вовсе.

Например, недавно была обнаружена фишинговая кампания, (https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain) которая была нацелена на зарубежные организации в сфере недвижимости и государственные учреждения. Хакеры использовали сложную цепочку заражений, состоящую из документов Microsoft Word, менеджера пакетов Chocolatey (https://chocolatey.org/) и стеганографии.

По классике, атака начиналась с рассылки фишинговых писем, которое содержало документ word с вредоносным макросом. Если жертва открывала этот документ, (https://www.proofpoint.com/sites/default/files/inline-images/Figure%203_2.png) вредоносный макрос извлекал на ПК изображение, которое скрывает под собой PowerShell-скрипт. (https://t.me/Social_engineering/2015). Скрипт грузит диспетчер пакетов Windows Chocolatey, который затем будет использован для установки Python (https://t.me/Python_libr) и установщика пакетов PIP. Далее в систему жертвы загружается второе стеганографическое изображение для загрузки бэкдора, (https://t.me/Social_engineering/2131), представляющего собой написанную на Python малварь. Когда скрипт полностью отработает, хакеры получают возможность удаленного управления зараженным устройством: https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain

Предлагаю попробовать изучить стеганографию в деле и перейти к практике использования определенных инструментов:

• OpenStego — инструмент имеет поддержку шифрования AES, поддерживает различные плагины и совместим с такими ОС как Windows и Linux. Ознакомиться можно тут: https://github.com/syvaidya/openstego

• SilentEye — софт обладает множеством плагинов и использует современные алгоритмы стеганографии и маскировки. Полное описание: https://achorein.github.io/silenteye/

• imagejs — инструмент можно использовать только в ОС LInux. Однако софт позволяет создать картинки, которые одновременно представляют собой JavaScript - скрипты. Это нужно, чтобы упростить проведение более опасных XSS-атак, в которых иногда требуется подгрузить скрипт именно с атакованного домена. Вот тут на помощь приходит возможность загрузить туда аватарку, которая одновременно содержит JavaScript payload для дальнейшей атаки. Программа поддерживает внедрение в форматы BMP, GIF, WEBP, PNG и PDF. Подробнее: https://github.com/jklmnn/imagejs

• Steghide — консольная утилита, которая скрывает информацию в стандартных файлах форматов JPEG, BMP, WAV и AU. Инструмент умеет не просто упаковывать данные в картинку или трек, а еще и шифровать секретную нагрузку. Ознакомиться: https://github.com/StefanoDeVuono/steghide

• CloakifyFactory — умеет маскировать что угодно не просто в картинках, а еще и в видео, музыке и даже программах. Особенность инструмента в том, что перед маскировкой нагрузки она кодируется в Base64.

Настоящие стеганографические утилиты не меняют размер файла. Они «растворяют» скрываемое сообщение по алгоритму LSB или более продвинутому, стремясь сделать распределение измененных байтов неотличимым от наложения случайных шумов. Продвинутые утилиты умеют использовать шифрование, но добавить его можно и самому — например, используя VeraCrypt (https://t.me/Social_engineering/839) или тот же RAR.

Стеганографию эффективнее всего использовать не вместо криптографии, а вместе с ней. Такое сочетание позволяет скрыть как саму информацию, так и факт ее хранения или передачи.