Den økende trusselen fra nettverksbasert Steganografi

Tilbake i 2011 oppdaget forskere ved Laboratory of Cryptography and System Security i Budapest, Ungarn, en uvanlig form for skadelig programvare. Denne skadelige programvaren bygger seg inn i Microsoft Windows-maskiner, samler informasjon spesielt om industrielle kontrollsystemer og sender den deretter over Internett til kommando- og kontrollsenteret. Etter 36 dager fjerner skadevaren automatisk seg selv, noe som gjør den spesielt vanskelig å finne.





De kalte dette malware Duqu fordi den lager filer med prefikset ~DQ.

Programvaren var uvanlig på flere måter. For det første la sikkerhetsforskere merke til at Duqu har en bemerkelsesverdig likhet med Stuxnet-malwaren som angivelig er utviklet av amerikanske og israelske cyberkrigføringsteam for å angripe Irans atomevne. Et sikkerhetsteam sa at det var nesten identisk med Stuxnet, men med det helt andre formålet å samle informasjon i stedet for å angripe.

Det mest spennende er imidlertid måten Duqu sender informasjon tilbake til kontrollsenteret på. Den krypterer først denne informasjonen og legger den deretter inn i en JPEG-fil slik at den ser ut som et uskyldig bilde, en praksis kjent som steganografi. Mens kryptering beskytter informasjon, skjuler steganografi eksistensen av en melding i utgangspunktet.

Forskere studerer fortsatt Duqu for å finne ut nøyaktig dens formål og forstå hvem som har laget den. Men det faktum at denne skadevaren bruker steganografi for å sende informasjon over Internett er en del av en bekymringsfull trend. I 2008 ble det amerikanske justisdepartementet et offer for steganografi da sensitive økonomiske detaljer angivelig ble lekket skjult inne i JPEG-bilder. I 2002 ble det funnet at en barnepornografiring utvekslet informasjon ved hjelp av steganografi. Og en russisk spionring oppdaget i New York er kjent for å ha brukt steganografi for å sende informasjon tilbake til sine mestere.

Det reiser en rekke viktige spørsmål. Hvor utbredt er internettbasert steganografi, hva slags teknikker utnytter den, og hvordan kan den bekjempes?

I dag får vi et delvis svar takket være arbeidet til Steffen Wendzel ved forskningsgruppen for cyberforsvar ved Fraunhofer Institute for Communication, Information Processing and Ergonomics i Bonn, Tyskland, og noen få venner. Disse gutta gir en oversikt over måten malware skjuler hemmelig informasjon innenfor vanlige nettverksoverføringer og viser at antallet ulike metoder har økt dramatisk de siste årene.

Deres spesielle fokus er på nettverkssteganografi – gjemming av informasjon innenfor vanlige nettverksoverføringer i stedet for på USB-pinner eller i fysiske bilder og så videre. De påpeker at den nettverkssteganografien er spesielt attraktiv fordi det i prinsippet ikke er noen grense for hvor mye informasjon som kan sendes, i motsetning til for eksempel på en USB-pinne.

Dessuten har mulighetene for å skjule informasjon i nettverksoverføringer vokst i et raskt tempo. Spesielt har en rekke tilnærminger rettet seg mot IP-telefoniprogrammer som Skype, som har blitt stadig mer populære de siste årene.

Tidligere har nettverkssteganografer utnyttet TCP/IP-protokollene som har overskrifter som inneholder informasjon for ruting av data rundt Internett. Disse overskriftene har også ubrukte felt som kan brukes til å bære skjult informasjon relativt enkelt.

Wendzel og co sier at de siste årene har angrepsfokuset endret seg mot applikasjoner og tjenester med høyere lag som Skype, Bit Torrent og Google-søk og mot nye nettverksmiljøer som cloud computing. Den siste tiden har vi opplevd en endring i utvalget av skjulte databærere, sier de.

For eksempel er en tilnærming som kalles transcoding steganography eller TranSteg, å komprimere taledata slik at de tar mindre plass og å bruke plassen dette frigjør til å bære skjulte data.

Et annet angrep på taledata er å identifisere datapakkene knyttet til stillheten mellom ordene. Disse kan deretter pakkes med skjulte data.

En alternativ tilnærming er å angripe Google-søk, som viser en liste over de 10 mest populære relaterte søkefrasene etter hvert som brukeren skriver. Ett angrep avskjærer forslagene fra Googles servere og legger til et unikt ord på slutten av hver av de 10 foreslåtte frasene. Mottakeren trekker ganske enkelt ut disse tilføyde ordene og konverterer dem til en melding ved hjelp av en tidligere delt oppslagstabell.

Den kanskje mest bekymringsfulle trenden er den økende evnen til smarttelefoner, som i dag har funksjoner som bare var tilgjengelig på stasjonære og bærbare datamaskiner i den siste tiden. Smarttelefoner tilbyr en rekke steganografiske muligheter på grunn av deres evne til å ta opp og sende lyd, video, stillbilder samt tekstfiler av forskjellige typer. Dessuten er de åpenbart mobile og kan automatisk kobles til en rekke forskjellige nettverk.

Mest skremmende av alt er disse enhetene unikt sårbare. Sikkerhetslagene som brukes i mobile OS-er viser seg å være knapt nok, sier Wendzel og co.

Én form for skadelig programvare kalt SoundComber fanger opp personlige data som sifrene som legges inn i et smarttelefontastatur under en telefonsamtale og overfører det deretter ved hjelp av en av en rekke forskjellige metoder, for eksempel forhåndsdefinerte vibrasjonsmønstre, ved endringer i volumnivået på ringetonen, ved å låse og låse opp skjermen og så videre.

Alt dette representerer en betydelig trussel. Mer enn hundre teknikker gjenstår som overfører hemmelige data ved hjelp av metainformasjon, for eksempel header-elementer eller tidspunktet for nettverkspakker, sier Wendzel og co.

Problemet er selvfølgelig å oppdage datamaskiner som er infisert med steganografisk skadelig programvare, enten ved å søke direkte etter skadelig programvare i seg selv eller ved å se etter avslørende tegn på steganografi i dataene de overfører.

Det er lettere sagt enn gjort. Anti-malware-programvare ser vanligvis etter et forhåndsdefinert sett med filer som er kjent for å være problematiske. Det er også programvare som tilbyr datalekkasjebeskyttelse som normaliserer trafikken som kringkastes i håp om at dette forhindrer nettverkssteganografi. Andre systemer bruker maskinlæring for å oppdage avslørende tegn på steganografi.

Imidlertid er ingen av disse tilnærmingene perfekte eller i nærheten av det. Mottiltak kan ikke adressere alle disse tilgjengelige skjuleteknikkene samtidig på grunn av kompleksiteten og mangfoldet av protokoller og tjenester, sier Wendzel og co.

De påpeker at før et mottiltak som gjør dette kan bygges, må forskere komme opp med et nytt sett med grunnleggende tilnærminger for å motvirke de nyutviklede formene for steganografi.

En ting er sikkert: oppdagelsen og forebyggingen av nettverkssteganografi kommer til å bli stadig mer utfordrende ettersom trusselen fra skadelig programvare som Duqu sprer seg. Vær advart!

Ref: arxiv.org/abs/1407.2029 : Skjult og ukontrollert – om fremveksten av nettverkssteganografiske trusler

gjemme seg