Stegomalware

Stegomalware — тип вредоносного программного обеспечения, использующего методы стеганографии для сокрытия собственной деятельности и затруднения обнаружения. Стеганография — это практика скрытия файла, сообщения, изображения или видео внутри другого файла, сообщения, изображения, видео или сетевого трафика. Stegomalware строит собственную стеганографическую систему, чтобы внедрять вредоносные данные в свои ресурсы, а затем извлекает и исполняет их динамически. Такой подход считается одной из наиболее сложных и скрытных форм обфускации.

Термин «stegomalware» был введён исследователями в контексте мобильного вредоносного программного обеспечения и представлен на конференции Inscrypt в 2014 году^[1]. Однако возможность использования стеганографии вредоносным (в том числе мобильным) ПО рассматривалась и ранее: впервые применение стеганографии в вредоносных программах было реализовано ботнетами, осуществлявшими коммуникацию по вероятностно необнаружимым каналам^[2], а мобильное вредоносное ПО на базе скрытых каналов было предложено в том же году^[3]. В дальнейшем стеганография применялась и к другим элементам разработки вредоносного программного обеспечения, например, к return-oriented programming^[4] и обфускации на этапе компиляции^[5], а также к другим задачам^[6].

Европол поддерживает инициативу CUING, цель которой — мониторинг использования стеганографии во вредоносном программном обеспечении^[7].

Методы, применяемые stegomalware, были использованы в ряде атак: Duqu (для скрытия вредоносных нагрузок в изображениях JPEG с целью незаметной эксфильтрации данных), Zeus/Zbot (для сокрытия командно-контрольного (C&C) трафика внутри файлов изображений), Waterbug (для внедрения вредоносного кода в файлы WAV).

Основная цель использования Stegomalware как для финансово мотивированных киберпреступников, так и для национальных группировок (APT) заключается в сокрытии своей деятельности и обходе защитных систем, однако их стратегические задачи различаются. Киберпреступники используют Stegomalware для извлечения прямой финансовой выгоды. Их основные цели включают:

распространение вредоносного программного обеспечения (включая банковские трояны и программы-вымогатели);
хищение финансовой информации;
маскировку каналов управления (C&C)^[8].

Деятельность национальных группировок (APT) носит долгосрочный характер. В их цели входят:

кибершпионаж (хищение государственных секретов и интеллектуальной собственности);
обеспечение длительного скрытного присутствия в скомпрометированных сетях;
саботаж критической инфраструктуры;
скрытая доставка вредоносной нагрузки^[9].

Методы сокрытия кода, используемые в Stegomalware, постоянно эволюционируют, становясь более сложными за счёт общего усложнения вредоносного программного обеспечения и внедрения технологий искусственного интеллекта^[10]. Наряду с классическими методами встраивания вредоносного кода в изображения, злоумышленники расширяют использование более сложных медиа-контейнеров. Большой объём данных и сложная структура видео- и аудиофайлов позволяют внедрять значительные объёмы вредоносной нагрузки без привлечения внимания. Активно развивается сетевая стеганография, при которой код скрывается непосредственно в сетевом трафике. В частности, применяется сокрытие данных в TXT-записях DNS (когда вредоносный файл разбивается на части, кодируется и извлекается через обычные DNS-запросы)^[11], а также маскировка информации в служебных полях и заголовках протоколов HTTP и SSH. Кроме того, используются каналы скрытой передачи на основе истории (History Covert Channels, HCC), которые опираются на прошлые сетевые события как на точки отсчёта для встраивания сообщений, что значительно усложняет их обнаружение. Для создания адаптивного поведения вредоносного программного обеспечения и усовершенствованного сокрытия применяется искусственный интеллект^[12]. Он позволяет коду адаптироваться в реальном времени для обхода защитных систем и формировать сложные стеганографические полезные нагрузки, устойчивые к автоматизированному анализу. В качестве нетрадиционных носителей для сокрытия данных также используются метаданные файлов (например, EXIF-теги) и эмодзи, в которых применяются визуально идентичные, но различающиеся на уровне кода символы Unicode.

Современные методы выявления Stegomalware в сетевом трафике включают использование статистического и поведенческого анализа для поиска аномалий, таких как необычные размеры пакетов, отклонения во временных интервалах или использование нетипичных полей в протоколах^[13]. Для классификации трафика и выявления сложных нелинейных паттернов стеганографии применяется машинное обучение и глубокое обучение, включая глубокие нейронные сети и генеративно-состязательные сети (GAN)^[14]. Системы обнаружения интегрируются с данными киберразведки (Threat Intelligence) для проактивной блокировки угроз. Также используются гибридные подходы, комбинирующие машинное обучение со статистическим анализом, и развиваются методы визуализации сетевого трафика для поиска аномальных паттернов^[13].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

Stegomalware

Цели использования

Методы сокрытия данных

Обнаружение

Примечания

Категории