5分でできるステガノグラフィーの作成と防止

2月10 2023 By ヴィン・ラム、シニア・テクニカル・プログラム・マネージャー

この記事を共有する

その始まりは、投獄された暴君、散髪、そして刺青を入れた使用人だった。少なくとも、ヘロドトスはそう語っている。

メッセージを別のメッセージの中に隠すステガノグラフィーの最初の例としてよく挙げられるのは、ヒスティアウスという名の追放された王が、ライバルに対して反乱を起こそうとしたときのことだ。彼の解決策は、使用人の頭髪を剃り、メッセージを刺青することだった。髪が生え変わると、隠されたメッセージは敵の領土を通って簡単に届けられた。

ヒスティアイオスは初めてステガノグラフィ攻撃を成功させた。彼は敵に危害を加えるために、ありふれた風景の中に隠されたデータを使ったのだ。私はいつもこの話が好きだ。データを隠すという単純な方法が、いかに悲惨な結果をもたらすかを示している。

最近のステガノグラフィに基づく攻撃は、無害な画像ファイルにマルウェアを隠すことが多く、Histiaeusの隠されたメッセージが攻撃チェーンの最初のリンクであったように、脅威行為者の感染チェーンの重要なリンクを作り出しています。

ステガノグラフィは、被害者のマシンからデータを抽出するためにも使われる。例えば、攻撃者は会社のネットワークにアクセスした後、データを自宅に送る必要がある。ステガノグラフィ・ベースのマルウェアは、この目的を達成する。

画像にマルウェアを隠すのは難しい？概念実証として、それを試して、私のステガノグラフィック画像攻撃の旅を実演するビデオを作るのは楽しいだろう。ありがたいことに、頭皮にタトゥーを入れる必要はない！

画像ステガノグラフィー・マルウェアの作成はいかに簡単か？

これらの攻撃は巧妙に見えるかもしれませんが、ソフトウェアがあれば、画像にデータを埋め込むのは簡単です。1-2 Steganography、OpenStego、QuickStegoのようなフリーで利用可能なステガノグラフィープログラムは、すぐに利用でき、ユーザーフレンドリーです。

これらのツールを使えば、数行のコードで数分でマルウェアを作成し、抽出することができる。以下のコードは、私がjudyb Pythonライブラリを使用して、画像内のデータを隠したり、明らかにしたりする方法を示している。

judybのPythonライブラリのスクリーンショット。 — 画像中のデータを隠したり表したりするjudyb Pythonライブラリコードのスクリーンショット

シンプルなPythonモジュールを使えば、あなたも画像に情報を隠して、好きな場所に送ることができる。ステガノグラフィーは楽しい。友人に秘密のメッセージを伝えるために使うこともできるが、攻撃者はマルウェアを拡散し、ネットワークに感染させることができる。

なぜ効率的なのか？

画像にマルウェアを隠すのは簡単だが、検出するのは難しい。

攻撃者はビット/ピクセルレベルでデータを埋め込むため、悪意のあるペイロードをほとんどのマルウェア対策スキャンツールで検出することはほぼ不可能です。有害な画像は、ほとんどのリアルタイムのマルウェア対策検知方法を簡単に回避します。

ステノグラフ攻撃を防ぐには - ディープコンテンツの解除と再構築

検出ベースの方法は効果がないため、画像に隠された悪意のあるコードを検出する別の方法が必要です。

幸いなことに、ファイルを分解して有害なデータを取り除くCDR（Content Disarm and Reconstruction）と呼ばれる強力な方法がある。データ・サニタイゼーションとしても知られるCDRは、すべてのファイルが悪意のあるものであると仮定するゼロ・トラスト・セキュリティ・ソリューションです。ファイルを分解し、実行可能なコンテンツやファイル内のファイルタイプ標準に一致しない要素を削除します。最後に、ファイルを再構築し、安全なコンテンツで完全なユーザビリティを確保します。

CDR のより強力なバージョンは Deep CDRと呼ばれるより強力なバージョンは、プロファイル、メタデータ、およびピクセルに有害なコンテンツがないかどうかを調べることによって、画像をさらに検査する。

Deep CDR は、脅威を無効化するために再帰的サニタイゼーションを使用します。攻撃者がこの画像をPDFに埋め込んだ場合、Deep CDR 、PDF内のすべてのオブジェクトをスキャンし、サニタイズします。