ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Современные вредоносы используют стеганографию для сокрытия данных

Стеганография

В рамках конференции Black Hat Europe ИБ-исследователи Пьер-Марк Бюро (Pierre-Marc Bureau) из Dell SecureWorks и Кристиан Дитрих (Christian Dietrich) из Crowdstrike рассказали о методах стеганографии, которые используются злоумышленниками для сокрытия вредоносной деятельности. Эксперты представили несколько образцов вредоносов, поддерживающих стеганографию для сокрытия важных данных.

ИБ-специалисты рассказали, что DDoS-бот, известный как Foreign, получает с C&C-сервера команды в виде стандартных сообщений о HTTP-ошибке (ошибка 404). Foreign мониторит обычную на первый взгляд страницу с целью извлечения закодированной по Base64 команды, скрытой между HTML-тэгами .

По словам исследователей, в последнее время активными являются такие вредоносы, поддерживающие стеганографию, как Lurk, Gozi Neverquest и Stegoloader. Скрытые вредоносами данные были закодированы в наименее значащем бите в каждом пикселе цифрового изображения.

Lurk впервые был обнаружен в 2014 году ИБ-экспертами из Dell SecureWorks. Этот вредонос и его модификации используются для загрузки дополнительного вредоносного ПО на инфицированный хост. Lurk использует стеганографию для того, чтобы спрятать URL, откуда он загружает контент. Вредонос, в первую очередь загружает BMP-изображение, откуда он затем извлекает скрытый в наименее значащем бите URL.

Gozi Neverquest используется в финансовых вредоносных кампаниях. Вредонос может внедрить код в браузер, который будет отображать пользователям специальный контент и похищать учетные записи. Вредонос загружает файл favicon.ico с сервера, размещенного в TOR, используя специальный сервис tor2web, а затем извлекает URL из наименее значащего бита.

Dell SecureWorks также проанализировала семейство вредоносных программ Stegoloader, доставка которых осуществляется с помощью специального модуля развертывания. После запуска на системе этот инструмент дополнительно загружает основной компонент – PNG-изображение, размещенное на легитимном портале и скрывающее вредоносный код. В настоящее время вредонос распространяется через web-сайты с пиратским ПО, где злоумышленники публикуют инфицированный генератор лицензионных ключей.


Security Lab (23.11.2015 в 09:19) | вверх страницы | к списку новостей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"