Читаем Стеганография. История тайнописи полностью

В случае успешной атаки вымогательское ПО шифрует все файлы и изменяет их расширение на «.VVV». На рабочем столе появится текстовый документ или страница «HTML» с требованием выкупа в биткоинах.

В 2017 году был обнаружен «Cerber» — крупнейшая франшиза сервиса «RaaS» (англ. Ransomware-as-a-service — вымогатель как услуга). «Ransomware» представляет собой вирус, который попадает на компьютер жертвы и шифрует или блокирует на нем все файлы и данные, предлагая заплатить выкуп за дешифровку. «Cerber» позволяет любым пользователям, не владеющим технологиями, запускать собственные независимые вымогательские атаки.

На сегодняшний день «Cerber» запустил по всему миру более 160 активных кампаний с общим ежегодным прогнозируемым доходом около 2,3 миллиона долларов. Каждый день в среднем запускаются 8 новых кампаний, например, в июле 2016 исследователи обнаружили около 150 тысяч жертв в 201 стране и регионе.

«Cerber» распространился по всему миру и достиг даже Украины. Основным путем заражения являются спам-письма, которые пользователь получает в рамках мошеннических рассылок. Как правило, вирус прикреплен к файлу, который приложен к письму. С помощью технологий социальной инженерии мошенники заинтересовывают потенциальную жертву и заставляют ее открыть вложенный документ. После чего происходит заражение.

При этом ПК ведет себя довольно необычно, и это может стать сигналом тревоги для пользователя. Дело в том, что троян инициирует перезагрузку компьютера. После чего проверяет свою локацию (в ранних версиях он не шифровал ПК в странах бывшего СНГ) и приступает к шифрованию данных.

Новый вариант программы-вымогателя «Cerber» теперь нацелился на пользователей приложения электронной почты «MS Office 365». Он использует уязвимость «0-day», отправляя фишинговые письма с прикрепленными вредоносными файлами.

Как и многие другие программы-вымогатели, «Cerber» шифрует файлы пользователя и требует заплатить 1,24 биткойна (более 800 долларов) за ключ дешифрования, позволяющий восстановить файлы. Однако «Cerber» также использует аудиосистему компьютера для воспроизведения своего уведомления о необходимости заплатить выкуп.

Большинство антивирусных решений на сегодняшний день не защищают от стеганографических атак или защищают слабо, между тем, нужно понимать, что каждый заполненный контейнер опасен. В нем могут быть скрыты данные, которые эксфильтруются шпионским ПО, или коммуникация вредоносного ПО с командным центром, или новые модули вредоносного ПО.

В 2017 году «Лаборатория Касперского» наблюдала использование стеганографии в следующих вредоносных программах и средствах кибершпионажа:

— Microcin (AKA six little monkeys);

— NetTraveler;

— Zberp;

— Enfal (ранее — Zero.T);

— Shamoon;

— KinS;

— ZeusVM;

— Triton (Fibbit).

Авторы вредоносного ПО все активнее используют стеганографию из-за возможности:

— скрыть сам факт загрузки/выгрузки данных, а не только сами данные;

— обойти «DPI»-системы, что актуально в корпоративных сетях;

— позволить обойти проверку в «AntiAPT»-продуктах, поскольку последние не могут обрабатывать все графические файлы (их слишком много в корпоративных сетях, а алгоритмы анализа довольно дорогие).

Использование стеганографии сегодня — очень популярная идея среди авторов вредоносного и шпионского ПО. Его очень трудно обнаружить, поскольку они выглядят как обычные графические (и не только) файлы.

Все существующее ПО для исследования стеганографии по сути являются «PoC» (англ. Proof-of-Concept), и их логика не может быть реализована в промышленных средствах защиты из-за низкой скорости работы, не слишком высокого уровня исследования, и даже иногда — из-за ошибок в математике.

Как пример вредоносного ПО, которое использует стеганографию для сокрытия своей коммуникации, рассмотрим вредоносный загрузчик «Zero.T», обнаруженный «Лабораторией Касперского» в конце 2016 года. Не останавливаясь на попадании в систему и закреплении в ней, отметим, что «Zero.T» скачивает полезную нагрузку в виде «Bitmap» файлов:

— fsguyidll.bmp,

— fslapi.bmp,

— fslapi.dll.bmp.

Затем обрабатывает их особым образом, после чего получает вредоносные модули:

— fsguyidll.exe,

— fslapi. dll,

— fslapi.dll.bmp.

На первый взгляд эти 3 файла «BMP» оказались картинками, которые являлись заполненными контейнерами. В каждом из них несколько (алгоритм допускает вариативность) младших значащих бит были заменены на шпионскую нагрузку.

Существуют разные способы, как определить, является ли картинка заполненным контейнером или нет. Но самый простой из них — визуальная атака. Суть его заключается в формировании новых изображений на основе исходного, состоящих из НЗБ различных цветовых плоскостей.

После такой обработки на втором и третьем изображении будут заметны области с высокой энтропией (высокой плотностью данных) — это и есть внедренное сообщение. С одной стороны это просто, потому что аналитик (и даже простой пользователь!) может с легкостью увидеть внедренные данные. А с другой стороны сложно потому, что такой анализ довольно трудно автоматизировать.