Ειδικοί ασφάλειας εντόπισαν επίθεση εναντίον μεγάλης εταιρείας όπου χρησιμοποιήθηκε τεχνική εκδιήθησης δεδομένων (data exfiltration) με βάση την στεγανογραφία των βίντεο (video steganography).
Οι επιτιθέμενοι επιτυγχάνουν exfiltration στα δεδομένα με μια τεχνική που βασίζεται σε βίντεο που μεταφορτώνονται σε υπηρεσίες cloud. Οι επιτιθέμενοι χρησιμοποίησαν αυτή την τεχνική για να αποσπάσουν δεδομένα από τον στόχο χωρίς τον εντοπισμό τους από τις συμβατικές λύσεις ασφαλείας, όπως τα συστήματα ανίχνευσης/πρόληψης εισβολής (Intrusion Prevention Systems/Intrusion Detection Systems) . Για την περαιτέρω βελτίωση της τακτικής, οι κακόβουλοι χρήστες χρησιμοποιούν τη στεγανογραφία να “κρύψουν” τα κρυπτογραφημένα δεδομένα σε βίντεο τα οποία ανεβαίνουν σε υπηρεσία διαμοιρασμού αρχείων βίντεο.
Γιατί μόνο βίντεο και όχι εικόνες;
Οι ειδικοί ασφάλειας γνωρίζουν ότι υπάρχουν πολλά διαθέσιμα εργαλεία που μπορούν να ανιχνεύσουν τη χρήση της στεγανογραφίας σε εικόνες, μάλιστα το εν λόγω λογισμικό είναι σε θέση να ανιχνεύσει τα signatures των εργαλείων και των τεχνικών στεγανογραφίας. Η κατάσταση είναι αρκετά διαφορετική για τα βίντεο και οι επιτιθέμενοι που χρησιμοποιούν αυτή την τεχνική το γνωρίζουν.
Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν ένα tool από τα πολλά διαθέσιμα ή λογισμικό ανοικτού κώδικα (δηλαδή OpenPuff) για την εφαρμογή της στεγανογραφίας των exfiltrated δεδομένων. Όπως αποκαλύφθηκε από το Tripwire σε ένα blog post, μία από τις εταιρείες του Fortune 500 χτυπήθηκε πρόσφατα από τους χάκερ που χρησιμοποίησαν την παραπάνω τεχνική για το exfiltration δεδομένων.
Η εκδιήθηση δεδομένων δεν είχε ανιχνευθεί έως ότου η εταιρεία παρατήρησε ότι πολλά διπλά αρχεία βίντεο είχαν αναρτηθεί από το δίκτυό τους σε μια ιστοσελίδα διαμοιρασμού αρχείων βίντεο.
Το πρόβλημα είναι ότι τα διαθέσιμα εργαλεία που μπορούν να ανιχνεύσουν την παρουσία στεγανογραφίας είναι γενικά σχεδιασμένα για την ανίχνευση σε εικόνες και όχι σε βίντεο. Οι ομάδες χάκερ που χρησιμοποιούν αυτή την τεχνική το γνωρίζουν καλά και συνεπώς αυτός είναι ο λόγος που χρησιμοποιούν αρχεία βίντεο αντί για εικόνες που θα ήταν πιο εύκολος μηχανισμός μεταφοράς δεδομένων.
Ως στρατηγική μετριασμού του κινδύνου προτείνεται στους διαχειριστές δικτύου να παρακολουθούν την εγκατάσταση και τη δυαδικότητα των εφαρμογών ή τα custom binaries που χρησιμοποιούνται από επιτιθέμενους για την κωδικοποίηση δεδομένων σε ένα βίντεο ή μια εικόνα. Οι διαχειριστές πρέπει ούτως ή άλλως να παρακολουθούν τις εξερχόμενες συνδέσεις με εξωτερικές υπηρεσίες.
Μια άλλη στρατηγική μετριασμού του κινδύνου για να εντοπίσουν το λογισμικό που θα μπορούσε να χρησιμοποιηθεί στην τεχνική data exfiltration, είναι να σαρώσουν τα συστήματα host για αρχεία βίντεο ειδικά για τα κρίσιμα συστήματα.
Όπως εξηγείται από το Tripwire, στην περίπτωση του Fortune 500, οι επιτιθέμενοι χρησιμοποίησαν τα ίδια αρχεία βίντεο για να στείλουν διαφορετικά τμήματα δεδομένων από το στοχευμένο δίκτυο.
