Современные вредоносы используют стеганографию для сокрытия данных

В рамках конференции Black Hat Europe ИБ-исследователи Пьер-Марк Бюро (Pierre-Marc Bureau) из Dell SecureWorks и Кристиан Дитрих (Christian Dietrich) из Crowdstrike рассказали о методах стеганографии, которые используются злоумышленниками для сокрытия вредоносной деятельности. Эксперты представили несколько образцов вредоносов, поддерживающих стеганографию для сокрытия важных данных.

ИБ-специалисты рассказали, что DDoS-бот, известный как Foreign, получает с C&C-сервера команды в виде стандартных сообщений о HTTP-ошибке (ошибка 404). Foreign мониторит обычную на первый взгляд страницу с целью извлечения закодированной по Base64 команды, скрытой между HTML-тэгами <comment>.

По словам исследователей, в последнее время активными являются такие вредоносы, поддерживающие стеганографию, как Lurk, Gozi Neverquest и Stegoloader. Скрытые вредоносами данные были закодированы в наименее значащем бите в каждом пикселе цифрового изображения.

Lurk впервые был обнаружен в 2014 году ИБ-экспертами из Dell SecureWorks. Этот вредонос и его модификации используются для загрузки дополнительного вредоносного ПО на инфицированный хост. Lurk использует стеганографию для того, чтобы спрятать URL, откуда он загружает контент. Вредонос, в первую очередь загружает BMP-изображение, откуда он затем извлекает скрытый в наименее значащем бите URL.

Gozi Neverquest используется в финансовых вредоносных кампаниях. Вредонос может внедрить код в браузер, который будет отображать пользователям специальный контент и похищать учетные записи. Вредонос загружает файл favicon.ico с сервера, размещенного в TOR, используя специальный сервис tor2web, а затем извлекает URL из наименее значащего бита.

Dell SecureWorks также проанализировала семейство вредоносных программ Stegoloader, доставка которых осуществляется с помощью специального модуля развертывания. После запуска на системе этот инструмент дополнительно загружает основной компонент – PNG-изображение, размещенное на легитимном портале и скрывающее вредоносный код. В настоящее время вредонос распространяется через web-сайты с пиратским ПО, где злоумышленники публикуют инфицированный генератор лицензионных ключей.