Küberturvasüsteemid on muutunud kahtlaste failide tuvastamisel üsna tõhusaks. Kuna ettevõtted on saanud teadlikumaks vajadusest parandada oma turvalisust täiendavate kaitsetasandite abil, on küberkurjategijatel tekkinud vajadus avastamist vältida võimaldavate nõksude järele.
Sisuliselt on mistahes küberturbe tarkvara piisavalt võimas, et tuvastada suurem osa pahavara sisaldavatest failidest. Sellest tulenevalt otsivad küberkurjategijad pidevalt erinevaid viise avastamisest kõrvalehoidmiseks ning nende võtete hulgas on piltidesse või fotodesse peidetud pahavara kasutamine.
Pahavara peitub piltides
See võib tunduda uskumatuna, kuid on täiesti võimalik. Pahavara paigutamine erinevas vormingus piltide sisse on steganograafia. See on võtete jada, mille abil peidetakse faili andmed, et vältida nende tuvastamist. ESET-i uurijad tuvastasid, et seda tehnikat kasutab küberspionaaži rühmitus Worok, kes peitis pildifailidesse pahavara koodi, eraldades neist teavet konkreetsete pikslite kohta pahavara koodi allalaadimiseks. Siiski tasub arvestada, et seda tehti juba ohustatud süsteemides, kuna, nagu juba varem mainitud, on pahavara piltide sisse peitmine pigem suunatud tuvastamisest möödahiilimiseks kui esmase juurdepääsu saamiseks.
Kõige sagedamini avaldatakse pahavara sisaldavaid pilte veebisaitidel või lisatakse dokumentidesse. Võimalik, et mõned veel mäletavad reklaamvara: reklaambänneritesse peidetud koodi. Pildis sisalduvat koodi ei saa käivitada, rakendada ega eemaldada, kuni see on faili integreeritud. Pahavara koodi kättesaamiseks ja käivitamiseks tuleb kasutada veel ühte pahavara programmi. Siin on osalemiseks vajalik kasutaja tase erinev ja pahavara aktiivsuse märkamise tõenäosus sõltub rohkem pahavara eemaldamisega tegelevast koodist kui pildist endast.
Kõige vähem (rohkem) oluline bitt (olulised bitid)
Üheks salakavalamaks mooduseks pildile pahavara koodi sisestamiseks on asendada iga punase, rohelise, sinise ja alfa-kanali (RGBA) piksli väärtuse kõige vähem oluline bitti väikese osaga sõnumist. Teine meetod on kinnistada midagi pildi alfakanalisse (tähistab värvi läbipaistvust), kasutades sellest vaid suhteliselt väikest osa. Nii näib pilt enam-vähem samasugune kui tavaline, mistõttu on silmal raske mistahes erinevusi tuvastada.
Selle näiteks oli juhtum, kus seaduslikud reklaamivõrgustikud avaldasid kuulutusi, mille tulemuseks oli pahavara sisaldava bänneri saatmine ohustatud serverist. Bännerist eemaldati JavaScripti kood, kasutades mõnes Internet Exploreri versioonis haavatavust CVE-2016-0162, et saada sihtmärgi kohta võimalikult palju lisateavet.
(Allikas: ESET-i uuring)
Pildifailidest kätte saadud pahavara andmeid saab kasutada erinevatel eesmärkidel. Exploreri haavatavuse korral kontrollis skript, kas see töötab jälgitavas masinas, näiteks analüüsib pahavara olemasolu. Kui ei, siis suunatakse see edasi eksploitide komplektiga lehele. Pärast seda kasutati viimast koormust pahavara (nt tagauksed, pangatroojalased, nuhkvara, failide kaaperdajad jms) kohaletoimetamiseks.
Nagu näete, on puhta ja pahavara sisaldava pildi erinevus väike. Tavainimese jaoks võib pahavara sisaldav pilt pisut teistsugune välja näha, ja sellisel juhul arvatakse, et kummalise välimuse põhjuseks võib olla pildi kehv kvaliteet ja eraldusvõime, kuid tegelikkus on see, et kõik need tumedad pikslid, mis on pildil paremal pool esile tõstetud, on pahavara koodi tundemärk.
Paanikaks pole põhjust
Võib-olla tahate teada, kas sotsiaalmeedias avaldatud pildid võivad sisaldada ohtlikku koodi. Arvestage sellega, et suhtlusportaalides avaldatud pildid on tavaliselt tugevalt tihendatud ja muudetud, mistõttu on kurjategijal väga raske nendesse täielikult säilinud ja töötavat koodi peita. Võimalik, et see muutub ilmseks, kui võrrelda, milline nägi foto välja enne ja pärast Instagrami üleslaadimist, tavaliselt on siis kvaliteedis selged erinevused.
Kõige tähtsam on see, et andmete RGB pikslites varjamise meetodid ja muud steganograafilised meetodid kujutavad endast ohtu ainult siis, kui peidetud andmeid loeb programm, mis suudab tuvastada pahavara koodi ja selle süsteemis käivitada. Pilte kasutatakse sageli juhtimis- ja kontrolliserveritest (C&C) alla laaditud pahavara peitmiseks, et vältida tuvastamist küberturbe tarkvara poolt. Ühel juhul laaditi ohvrite arvutitesse e-kirjadele manusena lisatud nakatunud Wordi dokumentide kaudu alla troojalane ZeroT. Kuid see pole aga kõige huvitavam. Huvitav on see, et see laadis alla ka PlugX RAT-i (teise nimega Korplug) variandi, mis kasutab Britney Spearsi pildist pahavara kättesaamiseks steganograafiat.
Teisisõnu, kui olete kaitstud ZeroT taoliste troojalaste eest, siis te ei pea eriti muretsema stenograafia kasutamise pärast nende poolt.
Lõppkokkuvõttes sõltub pilti peidetud mistahes eksploiti edukas rakendumine süsteemi haavatavusest. Kui teie süsteemid on juba ajakohased, siis eksploit ei rakendu; seepärast on soovitatav hoida oma küberkaitse, rakendused ja operatsioonisüsteemid alati ajakohasena. Eksploitide rakendumist saab vältida täielikult uuendatud tarkvara ja usaldusväärse uuendatud turbelahenduse abil.
Rakendatakse samu küberturbe reegleid nagu alati ja teadlikkus on esimene samm küberohtudeta elu suunas.
