Simovits

Det osynliga hotet – lite om Steganografi

Steganografi, konsten att gömma meddelanden på ett sådant sätt att endast mottagaren känner till att det finns. Det har använts sedan länge, ca 500 år f.v.t. i det forna Grekland berättar Herodotus att Histiaeus lät tatuera in ett meddelande på en slavs rakade skalle. När håret växte ut var meddelandet således dolt och kunde levereras till mottagaren.
Osynligt bläck är en av många typer av steganografi. Steganografi kan användas för att gömma en typ av media i en annan typ av media, t.ex. bilder gömda i bilder, texter gömda i bilder, bilder gömda i ljud eller video för att nämna några kombination. Det finns en mängd metoder att applicera steganografi i digitalt media. Ett sätt är att dölja meddelandet i LSB (least significate bits), dvs den bit i varje pixel som minst påverkar pixelns utseende, eller en enklare metod är att dölja den i slutet av hex-koden, vilket också är enklare att knäcka. Kan du hitta den hemliga kodfrasen i bilden ovan? Tips: Det är en ganska osäker steganografimetod som använts.

Men steganografi används inte bara till att skicka hemliga meddelanden. Det har även använts för att distribuera skadlig kod. Skadlig kod har gömt sig i Genom att bädda in kod i reklambilder och utnyttja sårbarheter i webbläsaren exekveras den inbäddade koden på offrets dator. Tidigare i år upptäcktes AdGholas kampanjen började använda Stegano exploit kit – ett exploit kit som använder sig av steganografi för spridning av skadlig kod. ESETs analys i december för en kampanj visar att reklam med skadlig kod matades till användaren webbläsare om vissa kriterier uppfylldes. Den skadliga koden var gömd i reklamens alpha-kanal, d.v.s. de bitar som definierar transparensen av en pixel. Skillnaderna i reklamen var marginella och inte synliga för det blotta ögat. Bilden nedan visar en förstoring på en del av den reklambild som analyserades av ESET:

Figur 1: Vänster, förstoring av bild som inte innehåller skadlig kod, Mitten förstoring av reklam som innehåller skadlig kod, Vänster förstärkning av mittenbilden för att förtydliga skillnaderna. Bild från: http://www.welivesecurity.com/2016/12/06/readers-popular-websites-targeted-stealthy-stegano-exploit-kit-hiding-pixels-malicious-ads/

Det gömda scriptet kontrollerar sedan om webbläsaren är sårbar, i detta fall utnyttjade en sårbarhet i Internet Explorer, för att sedan skicka användaren till en exploit-sida.
Även ProofPoint och Tredmicro publicerade en analys av en annan AdGholas Stegano-kampanj tidigare i år. Vilka andra innovativa steganografi-hot kan tänkas och hur kan vi upptäcka hoten?
Att gömma skadlig kod i reklam är ett effektivt sätt för att infektera datorer med skadlig kod. Men för att skydda sig mot malvertising och andra hot på internet så är det första rekommendationen att se till att ha alla de senaste säkerhetspatcherna applicerade på sitt system! Man kan även inaktivera JavaScript i sin webbläsare för att förhindra den här typen av attacker, även inaktivering av Flash är fördelaktigt, då det är en annan vanlig infektionsvektor (och inte inte bara för steganografi-angrepp!). Du kan även installera ad-block tillägg i din webbläsare för att blockera reklam för att minska risken för att drabbas av skadlig kod som sprids via reklam.