— NetTraveler;
— Zberp;
— Enfal (ранее — Zero.T);
— Shamoon;
— KinS;
— ZeusVM;
— Triton (Fibbit).
Авторы вредоносного ПО все активнее используют стеганографию из-за возможности:
— скрыть сам факт загрузки/выгрузки данных, а не только сами данные;
— обойти «DPI»-системы, что актуально в корпоративных сетях;
— позволить обойти проверку в «AntiAPT»-продуктах, поскольку последние не могут обрабатывать все графические файлы (их слишком много в корпоративных сетях, а алгоритмы анализа довольно дорогие).
Использование стеганографии сегодня — очень популярная идея среди авторов вредоносного и шпионского ПО. Его очень трудно обнаружить, поскольку они выглядят как обычные графические (и не только) файлы.
Все существующее ПО для исследования стеганографии по сути являются «PoC» (англ. Proof-of-Concept), и их логика не может быть реализована в промышленных средствах защиты из-за низкой скорости работы, не слишком высокого уровня исследования, и даже иногда — из-за ошибок в математике.
Как пример вредоносного ПО, которое использует стеганографию для сокрытия своей коммуникации, рассмотрим вредоносный загрузчик «Zero.T», обнаруженный «Лабораторией Касперского» в конце 2016 года. Не останавливаясь на попадании в систему и закреплении в ней, отметим, что «Zero.T» скачивает полезную нагрузку в виде «Bitmap» файлов:
— fsguyidll.bmp,
— fslapi.bmp,
— fslapi.dll.bmp.
Затем обрабатывает их особым образом, после чего получает вредоносные модули:
— fsguyidll.exe,
— fslapi. dll,
— fslapi.dll.bmp.
На первый взгляд эти 3 файла «BMP» оказались картинками, которые являлись заполненными контейнерами. В каждом из них несколько (алгоритм допускает вариативность) младших значащих бит были заменены на шпионскую нагрузку.
Существуют разные способы, как определить, является ли картинка заполненным контейнером или нет. Но самый простой из них — визуальная атака. Суть его заключается в формировании новых изображений на основе исходного, состоящих из НЗБ различных цветовых плоскостей.
После такой обработки на втором и третьем изображении будут заметны области с высокой энтропией (высокой плотностью данных) — это и есть внедренное сообщение. С одной стороны это просто, потому что аналитик (и даже простой пользователь!) может с легкостью увидеть внедренные данные. А с другой стороны сложно потому, что такой анализ довольно трудно автоматизировать.
К счастью, ученые уже давно разработали несколько методов выявления заполненных контейнеров, основанных на статистических характеристиках изображения. Но все они основываются на предположении, что внедренное сообщение имеет высокую энтропию. Чаще всего это действительно так: поскольку емкость контейнера ограничена, сообщение перед внедрением сжимается и/или шифруется, т. е. его энтропия повышается.
Однако вредоносный загрузчик «Zero.T» не сжимает свои модули перед внедрением. Вместо этого он увеличивает количество используемых НЗБ: 1,2 или 4. Так использование большего количества НЗБ приводит к появлению визуальных артефактов в изображении, заметных простому пользователю.
Заключение
Итак, стеганология прочно заняла свою нишу в обеспечении информационной и кибербезопасности: она не заменяет, а дополняет криптологию. Сокрытие сообщения методами стеганографии значительно снижает вероятность обнаружения самого факта передачи сообщения. А если это сообщение к тому же зашифровано, то оно имеет еще один, дополнительный, уровень защиты.
Среди основных причин наблюдающегося всплеска интереса к стеганологии можно выделить принятые в ряде стран ограничения на использование сильной криптологии, а также проблему защиты авторских прав на художественные произведения, интеллектуальную собственность и т. д. в глобальных цифровых сетях (интернет).
В настоящее время в связи с бурным развитием вычислительной техники, сети Интернет и новых каналов передачи информации появились новые стеганографические методы, в основе которых лежат особенности представления информации в компьютерных файлах, вычислительных сетях и т. п.
Существует множество направлений современной стеганологии, таких как компьютерная стеганография, цифровая стеганография, сетевая стеганография, каждое со своими методами и алгоритмами. Каждое направление используется в зависимости от ситуации и имеющихся ресурсов.
Использованная литература
Бабаш А., Шанкин Г. Зарождение криптографии. Материалы к лекции по теме «Криптография в древние времена». М., 2002.
Барабаш А. Cтеганография. Древняя тайнопись в цифровую эпоху // http://www.webcitation.org/66M340RTC.
Белкина Т. А. Аналитический обзор применения сетевой стеганографии для решения задач информационной безопасности. «Молодой ученый» № 11, 2018.
Бобылев П., Алябьев А. Защита цифровой информации методами стеганографии. Тамбов, 2005.
Быков С., Мотуз О. Основы стегоанализа. «Защита информации. Конфидент», № 3, 2000, с. 38–41
Горбовский А. Загадки древнейшей истории. М., 1971.
Зелинский Ф. Сказочная древность Эллады. М., 1993.
Зорин Е., Чичварин Н. Стеганография в САПР // http://studydoc.ru/doc/155375/steganografiya-v-sapr — blog-n.v.-chichvarina — 2013.
Колобова А.К., Колобов Д.Г., Герасимов А.С. Стеганография от древности до наших дней // Безопасность информационных технологий. М., 2015.
Мелтон К., Алексеенко В. История оперативной техники спецслужб. М., 2016.
Петраков А. Элементы крипто— и стеганографических технологий в цифровом телевидении. «Электротехнические и информационные комплексы и системы» № 4, 2006.
Риксон Ф. Коды, шифры, сигналы и тайная передача информации. М., 2011.
Синельников А. Шифры и революционеры России // www.hrono.ru/ libris/lib_s/shifr00.html.
Фролов Г. Тайна тайнописи. М., 1992.
Грибунин В., Оков И., Туринцев И. Цифровая стеганография. М., 2002.
Шелков В. История «микроточки». «Специальная техника и связь» № 3, 2012.
Шульмин А., Крылова Е. Стеганография в современных кибератаках // https://securelist.ru/steganography-in-contemporary-cyberattacks/79090/ — 2017.
Документальные
Нераскрытые тайны: тайны шифра. Россия, 2014.
Художественные
Рандеву. США, 1935.
Об авторе
Гребенников Вадим Викторович родился 20 апреля 1960 года в Ужгороде, столице Закарпатья, которое до 1945 года называлось Подкарпатской Русью, а поэтически — Серебряной Землёй.
Имеет полное высшее образование, закончил в 1982 году Ленинградский электротехнический институт связи имени профессора М.А. Бонч-Бруевича (ЛЭИС, ныне — СПбГУТ — Санкт-Петербургский Государственный университет телекоммуникаций) по специальности «радиотехника» с квалификацией радиоинженера.
Женился в ноябре 1984 года, имеет 3-х детей, 2-х внучек и внука. Полковник, ветеран и пенсионер. Живёт в Ужгороде.
В феврале 1983-го начал работать на должности электромеханика в отделении правительственной связи (далее — ПС) Управления КГБ УССР по Закарпатской области, а в 1986-м стал офицером и начал прохождение военной службы в том же подразделении на должности инженера отделения ПС. В 1987-м был переведён на должность инженера группы ПС Мукачевского горотдела УКГБ.
В марте 1992 года на базе КГБ УССР в Украине была создана Служба безопасности (далее — СБУ), и с 1993 года продолжил службу начальником отделения ПС Мукачевского горотдела Управления СБУ в Закарпатской области. Ужгородское отделение ПС было реорганизовано в Отдел ПС Управления СБУ в Закарпатской области.
Летом 1998 года Главное Управление ПС СБУ и Главное управление ТЗИ Госкомсекретов Украины были реорганизованы в Департамент специальных телекоммуникационных систем и защиты информации (далее — ДСТСЗИ) СБУ, в структуру которого ввели Отдел ПС областных управлений СБУ. В декабре того же года был организован Отдел ДСТСЗИ СБУ в Закарпатской области (далее — Отдел).
В 2000 году автор был переведён из Мукачева в Ужгород на должность начальника оперативно-технического управления Отдела. В 2002 году был назначен начальником отделения правительственной и конфиденциальной связи Отдела, а в 2003 году — помощником начальника Отдела по вопросам безопасности связи.
В начале 2006 года Верховным Советом Украины был принят Закон «О Государственной службе спецсвязи и защиты информации Украины», введённый в действие с 1 января 2007 года. В соответствии с этим законом ДСТСЗИ был выведен из состава СБУ и на его базе создана самостоятельная Госслужба спецсвязи и защиты информации Украины (далее — Госспецсвязи), а также её региональные органы.
1 января 2007 года автор был назначен на должность заместителя начальника Управления Госспецсвязи в Закарпатской области. 29 сентября того же года принял участие в аварийном восстановлении и обеспечении безопасности функционирования информационно-аналитической системы «Выборы», за что 13 ноября 2007 года Указом Президента Украины № 1092 был удостоен медали «За безупречную службу».
После увольнения со службы в 2012 году автор издал на украинском языке книгу «История криптологии & секретной связи» (800 страниц), которую писал на протяжении 15 лет и фактически стал историком криптологии, стеганографии и специальных видов связи.
После этого разработал официальный веб-сайт книги, который постепенно с увеличением выложенных на нём материалов превратился в исторический портал по информационной безопасности (далее — ИБ). Сейчас он содержит не только русскую версию книги, исторические статьи, фильмы и фотографии, но и учебные материалы для студентов Ужгородского национального университета (далее — УжНУ) по ИБ и защите информации.
В 2017 году была переиздана первая часть написанной книги под названием «Криптология и секретная связь. Сделано в СССР» (480 страниц) московским издательством «Алгоритм» (ISBN 978-5-906979-79-7). В ней излагается история криптологии и специальных видов связи в Российской империи и Советском Союзе.