Det växande hotet från nätverksbaserad Steganografi

Redan 2011 upptäckte forskare vid laboratoriet för kryptografi och systemsäkerhet i Budapest, Ungern, en ovanlig form av skadlig programvara. Denna skadliga programvara bäddar in sig i Microsoft Windows-maskiner, samlar in information särskilt om industriella kontrollsystem och skickar den sedan över Internet till dess kommando- och kontrollcenter. Efter 36 dagar tar den skadliga programvaran automatiskt bort sig själv, vilket gör det särskilt svårt att hitta.





De kallade detta skadlig kod Duqu eftersom det skapar filer med prefixet ~DQ.

Programvaran var ovanlig på flera sätt. För det första märkte säkerhetsforskare att Duqu har en anmärkningsvärd likhet med den skadliga programvaran Stuxnet som påstås utvecklats av amerikanska och israeliska cyberkrigsteam för att attackera Irans nukleära kapacitet. Ett säkerhetsteam sa att det var nästan identiskt med Stuxnet men med det helt andra syftet att samla information snarare än att attackera.

Mest spännande är dock hur Duqu överför information tillbaka till sin kontrollcentral. Den krypterar först denna information och bäddar sedan in den i en JPEG-fil så att den ser ut som en oskyldig bild, en metod som kallas steganografi. Medan kryptering skyddar information döljer steganografi förekomsten av ett meddelande i första hand.

Forskare studerar fortfarande Duqu för att ta reda på exakt dess syfte och förstå vem som skapade den. Men det faktum att denna skadliga programvara använder steganografi för att skicka information över Internet är en del av en oroande trend. 2008 var det amerikanska justitiedepartementet ett offer för steganografi när känsliga finansiella detaljer påstås läcka gömda i JPEG-bilder. År 2002 visade sig en barnpornografiring utbyta information med hjälp av steganografi. Och en rysk spionring upptäckt i New York är känd för att ha använt steganografi för att skicka tillbaka information till sina mästare.

Det väcker ett antal viktiga frågor. Hur utbredd är internetbaserad steganografi, vilken typ av tekniker utnyttjar den och hur kan den bekämpas?

Idag får vi ett delvis svar tack vare Steffen Wendzels arbete vid forskargruppen för cyberförsvar vid Fraunhofer Institute for Communication, Information Processing and Ergonomics i Bonn, Tyskland, och några vänner. Dessa killar ger en överblick över hur skadlig programvara döljer hemlig information inom vanliga nätverksöverföringar och visar att antalet olika metoder har ökat dramatiskt de senaste åren.

Deras speciella fokus ligger på nätverkssteganografi – att dölja information inom vanliga nätverksöverföringar snarare än på USB-minnen eller i fysiska bilder och så vidare. De påpekar att den nätverkssteganografin är särskilt attraktiv eftersom det i princip inte finns någon gräns för hur mycket information som kan skickas, till skillnad från till exempel på ett USB-minne.

Dessutom har möjligheterna att dölja information i nätverksöverföringar vuxit i snabb takt. I synnerhet har ett antal tillvägagångssätt varit inriktade på IP-telefoniprogram som Skype, som har blivit allt populärare de senaste åren.

Tidigare har nätverkssteganografer utnyttjat TCP/IP-protokollen som har rubriker som innehåller information för att dirigera data runt Internet. Dessa rubriker har också oanvända fält som kan användas för att bära dold information relativt enkelt.

Wendzel och co säger att attackens fokus under de senaste åren har ändrats mot applikationer och tjänster med högre lager som Skype, Bit Torrent och Google Search och mot nya nätverksmiljöer som cloud computing. Den senaste tiden har vi upplevt en förändring i valet av dolda databärare, säger de.

Till exempel är ett tillvägagångssätt som kallas transcoding steganography eller TranSteg, att komprimera taldata så att det tar mindre utrymme och att använda det utrymme som detta frigör för att bära hemlig data.

En annan attack mot taldata är att identifiera de datapaket som är associerade med tystnaden mellan orden. Dessa kan sedan packas med hemliga data.

Ett alternativt tillvägagångssätt är att attackera Google-sökningar, som tar upp en lista över de 10 mest populära relaterade sökfraserna när användaren skriver. En attack fångar upp förslagen från Googles servrar och lägger till ett unikt ord i slutet av var och en av de 10 föreslagna fraserna. Mottagaren extraherar helt enkelt dessa tillagda ord och konverterar dem till ett meddelande med hjälp av en tidigare delad uppslagstabell.

Den kanske mest oroande trenden är den växande kapaciteten hos smarta telefoner, som idag har funktioner som endast var tillgängliga på stationära och bärbara datorer på senare tid. Smarta telefoner erbjuder en mängd steganografiska möjligheter på grund av deras förmåga att spela in och skicka ljud, video, stillbilder samt textfiler av olika slag. Dessutom är de uppenbarligen mobila och kan automatiskt ansluta till en mängd olika nätverk.

Det mest skrämmande av allt är att dessa enheter är unikt sårbara. Säkerhetsskikten som används i mobila operativsystem visar sig vara knappt tillräckliga, säger Wendzel och co.

En form av skadlig programvara som heter SoundComber fångar in personliga data såsom siffrorna som skrivs in i en smart telefons knappsats under ett telefonsamtal och överför den sedan med någon av ett antal olika metoder, såsom fördefinierade vibrationsmönster, genom förändringar i volymnivån på ringsignalen, genom att låsa och låsa upp skärmen och så vidare.

Allt detta utgör ett betydande hot. Mer än hundra tekniker kvarstår som överför hemlig data med hjälp av metainformation, såsom huvudelement eller tidpunkten för nätverkspaket, säger Wendzel och co.

Problemet är naturligtvis att upptäcka datorer som är infekterade med steganografisk skadlig kod antingen genom att direkt söka efter skadlig programvara i sig eller genom att leta efter de tydliga tecknen på steganografi i data de överför.

Det är lättare sagt än gjort. Programvara mot skadlig programvara letar vanligtvis efter en fördefinierad uppsättning filer som är kända för att vara problematiska. Det finns också programvara som erbjuder dataläckageskydd som normaliserar trafiken som sänds i hopp om att detta förhindrar nätverkssteganografi. Andra system använder maskininlärning för att upptäcka tecken på steganografi.

Ingen av dessa tillvägagångssätt är dock perfekt eller i närheten av det. Motåtgärder kan inte hantera alla dessa tillgängliga döljningstekniker samtidigt på grund av komplexiteten och mångfalden av protokoll och tjänster, säger Wendzel och co.

De påpekar att innan en motåtgärd som gör detta kan byggas, måste forskare komma med en ny uppsättning grundläggande tillvägagångssätt för att motverka de nyligen utvecklade formerna av steganografi.

En sak är säker: upptäckten och förebyggandet av nätverkssteganografi kommer att bli alltmer utmanande när hotet från skadlig programvara som Duqu sprider sig. Varnas!

Ref: arxiv.org/abs/1407.2029 : Dolt och okontrollerat – Om uppkomsten av nätverkssteganografiska hot

Dölj