Cybercriminelen sluizen gestolen informatie steeds vaker door via geïnfecteerde afbeeldingen. Ze passen zogenoemde steganografie toe om gestolen data te verhullen. Die trend constateert beveiliger Kaspersky na onderzoek. Volgens de beveiliger zijn de laatste tijd malware-activiteiten opgedoken waarbij cyberspionage en diefstal van financiële gegevens plaatsvindt via afbeeldingen.
Kaspersky: ‘Het is typerend voor een gerichte cyberaanval dat de aanvaller het netwerk binnendringt om vervolgens waardevolle informatie te vergaren en naar de commando- en controleserver (C&C) over te zetten. In de meeste gevallen zullen beproefde beveiligingsoplossingen of professionele beveiligingsanalyses in elk stadium van de aanval de ongewenste gast opmerken. Dit geldt ook voor het ex-filtratiestadium, omdat de ex-filtratie meestal sporen achterlaat, bijvoorbeeld in een logboek vastgelegde links naar onbekende of ‘blacklisted’ ip-adressen. Hebben we echter te maken met een aanval waarbij steganografie is toegepast, dan is de detectie van data-ex-filtratie heel moeilijk.’
In dat scenario slaan indringers de te stelen informatie namelijk rechtstreeks op in de code van een afbeelding of videobestand, dat vervolgens naar de C&C wordt verzonden, heeft de beveiliger ontdekt.
Volgens de securityleverancier is het onwaarschijnlijk dat die acties beveiligingsalarmen zullen doen afgaan of gegevensbeschermingstechnologie in werking zal zetten. ‘De afbeelding is namelijk niet zichtbaar veranderd, de bestandsgrootte is nog hetzelfde en er zijn ook geen andere parameters gewijzigd die reden geven tot bezorgdheid. Dit maakt steganografie tot een lucratieve techniek voor cybercriminelen om data uit een aangevallen netwerk te smokkelen.’
Mainstream malware
De afgelopen maanden zijn onderzoekers van Kaspersky Lab op tenminste drie cyberspionage-operaties gestuit waarbij deze techniek een rol speelde. De leverancier: ‘Nog zorgwekkender is dat de methode naast cyberspionage ook door ‘gewone’ cybercriminelen is opgemerkt. De onderzoekers van Kaspersky Lab hebben het al toegepast gezien in bijgewerkte versies van Trojans als Zerp, ZeusVM, Kins en Triton. De meeste van deze malware-families richten zich doorgaans op financiële organisaties en gebruikers van financiële diensten. Dit laatste kan een signaal zijn dat malware-makers de techniek binnenkort massaal zullen omarmen, wat de complexiteit van malware-detectie zal doen toenemen.’
Hoewel het volgens de beveiliger niet de eerste keer is dat een aanvankelijk zeer geavanceerde dreiging langzaam maar zeker mainstream wordt, vormt de ontwikkeling van de steganografie-techniek een groeiende uitdaging.
Handmatige analyse
Jornt van der Wiel, security researcher bij Kaspersky Lab Benelux: ‘De bestanden die door de aanvallers worden gebruikt als ‘transportmiddel’ voor gestolen informatie zijn zeer omvangrijk, en hoewel er algoritmen bestaan die de techniek automatisch detecteren, zou grootscheepse implementatie hiervan veel rekenkracht vergen en kostbaar zijn. Het is echter relatief eenvoudig om met handmatige analyse een afbeelding met gestolen gegevens te onderscheppen. Deze methode heeft alleen zijn beperkingen, omdat een beveiligingsanalist per dag slechts een zeer beperkt aantal afbeeldingen kan analyseren.’
Kaspersky gebruikt een combinatie van technologieën voor geautomatiseerde analyse en handmatig onderzoek om dergelijke aanvallen te identificeren en te detecteren.
Van der Wiel: ‘Er is op dit gebied echter ruimte voor verbetering en met onze onderzoeken willen we de aandacht van de security-industrie op deze uitdaging vestigen en de ontwikkeling van betrouwbare en betaalbare technologieën stimuleren, waardoor het gebruik van steganografie bij malware-aanvallen is vast te stellen.’
