Der Trend der Steganographie-Malware geht von PNG- und JPG- zu WAV-Dateien über.
Zwei in den letzten Monaten veröffentlichte Berichte zeigen, dass Malware-Betreiber damit experimentieren, WAV-Audiodateien zu verwenden, um Schadcode zu verbergen.
Siehe auch
- 10 gefährliche App-Schwachstellen, auf die Sie achten sollten (kostenloses PDF)
Die Technik ist bekannt als Steganographie -- die Kunst, Informationen sichtbar auf einem anderen Datenträger zu verbergen.
Im Softwarebereich wird Steganographie – auch Stego genannt – verwendet, um den Vorgang des Versteckens von Dateien oder Text in einer anderen Datei eines anderen Formats zu beschreiben. Zum Beispiel das Verstecken von reinem Text im Binärformat eines Bildes.
Der Einsatz von Steganographie erfreut sich bei Malware-Betreibern seit mehr als einem Jahrzehnt großer Beliebtheit. Malware-Autoren nutzen Steganographie nicht, um in Systeme einzudringen oder diese zu infizieren, sondern als Übertragungsmethode. Mit Steganography können Dateien, die bösartigen Code verbergen, Sicherheitssoftware umgehen, die nicht ausführbare Dateiformate (z. B. Multimediadateien) auf die Whitelist setzt.
Bei allen bisherigen Fällen, in denen Malware Steganografie nutzte, ging es um die Verwendung von Bilddateiformaten wie PNG oder JEPG.
Die Neuheit in den beiden kürzlich veröffentlichten Berichten ist die Verwendung von WAV-Audiodateien, deren Missbrauch bei Malware-Operationen bis zu diesem Jahr noch nicht beobachtet wurde.
Die beiden Berichte
Die erste dieser beiden neuen Malware-Kampagnen, die WAV-Dateien missbrauchten, war berichtete bereits im Juni. Sicherheitsforscher von Symantec sagten, sie hätten eine russische Cyber-Spionagegruppe namens Waterbug (oder „Waterbug“) entdeckt Turla) verwenden WAV-Dateien, um bösartigen Code zu verbergen und von ihrem Server auf bereits infizierte Server zu übertragen die Opfer.
Die zweite Malware-Kampagne wurde diesen Monat von BlackBerry Cylance entdeckt. In einem heute veröffentlichten und mit geteilten Bericht ZDNet Letzte Woche sagte Cylance, es habe etwas Ähnliches gesehen wie Symantec einige Monate zuvor.
Aber während der Symantec-Bericht eine nationalstaatliche Cyberspionageoperation beschrieb, sagte Cylance, dass dies der Fall sei sah, wie die WAV-Steganografie-Technik in einer gewöhnlichen Krypto-Mining-Malware missbraucht wurde Betrieb.
Cylance sagte, dieser besondere Bedrohungsakteur habe DLLs in WAV-Audiodateien versteckt. Auf dem infizierten Host bereits vorhandene Malware würde die WAV-Datei herunterladen und lesen, die DLL Stück für Stück extrahieren und sie dann ausführen, wobei eine Kryptowährungs-Miner-Anwendung namens XMRrig installiert würde.
Josh Lemos, Vizepräsident für Forschung und Intelligenz bei BlackBerry Cylance, sagte ZDNet in einer E-Mail gestern, dass dieser Malware-Stamm, der WAV-Steganographie verwendet, sowohl auf Windows-Desktop- als auch auf Serverinstanzen entdeckt wurde.
Die Kommerzialisierung der Steganographie
Darüber hinaus teilte uns Lemos mit, dass dies offenbar auch das erste Mal sei, dass ein Krypto-Mining-Malware-Stamm entdeckt wurde, der missbrauchte Steganographie verwendet, unabhängig davon, ob es sich um eine PNG-, JPEG- oder WAV-Datei handelte.
Dies zeigt, dass Ihre alltäglichen Krypto-Mining-Malware-Autoren immer ausgefeilter werden, da sie aus anderen Vorgängen lernen.
„Der Einsatz von Stego-Techniken erfordert ein tiefgreifendes Verständnis des Zieldateiformats“, sagte Lemos ZDNet. „Es wird im Allgemeinen von raffinierten Bedrohungsakteuren verwendet, die über einen langen Zeitraum unentdeckt bleiben wollen.
„Die Entwicklung einer Stego-Technik braucht Zeit, und mehrere Blogs haben detailliert beschrieben, wie Bedrohungsakteure wie OceanLotus oder Turla das Verbergen von Nutzlasten implementiert haben“, fügte Lemos hinzu.
„Diese Veröffentlichungen ermöglichen es anderen Bedrohungsakteuren, die Technik zu verstehen und nach eigenem Ermessen einzusetzen.“
Mit anderen Worten: Das Dokumentieren und Studieren der Steganographie bringt einen Schneeballeffekt mit sich, der die Technik auch für weniger qualifizierte Malware-Operationen kommerzialisiert.
Doch während die Arbeit von Symantec und Cylance zur Dokumentation der WAV-basierten Steganographie anderen Malware-Betreibern helfen könnte, sind WAV-, PNG- und JPG-Dateien nicht die einzigen Dateiformate, die missbraucht werden können.
„Stego kann mit jedem Dateiformat verwendet werden, solange der Angreifer sich an die Struktur und die Einschränkungen des Dateiformats hält das Format so zu ändern, dass an der Zieldatei vorgenommene Änderungen deren Integrität nicht beeinträchtigen“, sagte Lemos.
Mit anderen Worten: Der Schutz vor Steganographie durch das Blockieren anfälliger Dateiformate ist nicht die richtige Lösung Unternehmen würden letztendlich das Herunterladen vieler beliebter Formate wie JPEG, PNG, BMP, WAV, GIF, WebP, TIFF usw. blockieren lädt mehr; Dies führt zu Chaos in internen Netzwerken und macht die Navigation im modernen Internet unmöglich.
Ein richtiger Umgang mit Steganographie ist... überhaupt nicht damit umgehen. Da Stego nur als Datenübertragungsmethode verwendet wird, sollten sich Unternehmen darauf konzentrieren, den Sinn von zu erkennen Eintritt/Infektion der Malware, die Stegonagraphie missbraucht, oder die Ausführung des nicht autorisierten Codes, der von der erzeugt wird Stego-geschnürte Dateien.
Die weltweit bekannteste und gefährlichste APT-Malware (staatlich entwickelte Malware).
Sicherheit
- 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
- So finden und entfernen Sie Spyware von Ihrem Telefon
- Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
- So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist