Hackeři používají zcela novou techniku k napadání počítačů

17. 8. 2017. (redaktor: František Doupal, zdroj: Kaspersky Lab)
Analytici společnosti Kaspersky Lab zaznamenali nový znepokojivý trend. Během analýzy řady kyberšpionážních a kyberkriminálních kampaní zjistili, že hackeři čím dál častěji používají stenografii – digitální formu staré techniky ukrývání informací do obrazu. Tím se snaží skrýt stopy své zákeřné aktivity v infikovaných počítačích.
Foto: Pixabay.com

V poslední době se podařilo zachytit několik malwarových aktivit zaměřených na kyberšpionáž a krádeže finančních informací využívajících tuto techniku.

V průběhu běžného cíleného kyberútoku si útočníci po úspěšné infiltraci napadené sítě snaží vybudovat stabilní zázemí. Následně sbírají informace, které posílají na příkazový a řídicí server. Bezpečnostní řešení nebo bezpečnostní odborníci jsou ve většině případů schopni zaznamenat přítomnost kyberzločinné aktivity v síti v její jakékoliv fázi, včetně finální, kdy infekce opouští systém. Během ní totiž útok v systému zanechá své stopy, jako jsou například protokolovaná připojení k neznámé nebo zakázané IP adrese. Když je ale v průběhu útoku využita stenografie, stává se detekce této finální fáze velmi obtížnou.

Při takovém scénáři útočníci vloží informace, které chtějí ukrást, přímo do kódu jednoduchého vizuálního obrazového nebo video souboru, který následně odešlou do C&C. Kvůli tomu je nepravděpodobné, že podobná událost bude detekována bezpečnostním řešením. Je to způsobeno tím, že po zásahu útočníkem nedojde k vizuální změně obrázku, ani ke změně jeho velikosti a dalších parametrů, čímž tedy nevyvolají žádný poplach. Stenografie je tak lákavou technikou pro hackery především v situaci, kdy chtějí dostat ukradená data z napadené sítě.

V průběhu několika posledních měsíců pozorovali odborníci Kaspersky Lab minimálně tři kyberšpionážní operace, které tuto techniku využily. Více alarmující však je, že si tuto techniku osvojují i běžní kyberzločinci. Odborníci Kaspersky Lab se s ní setkali u pokročilých verzí trojských koní Zerp, ZeusVM, Kins, Triton a dalších. Většina z těchto malwarových rodin útočí převážně na finanční instituce a uživatele finančních služeb. Stáváme se tak svědky přicházející masové adopce této techniky ze strany tvůrců malwaru, což bude mít důsledek na složitější detekci malwaru.

„I když to není poprvé, co se setkáváme s využitím pokročilé zákeřné techniky běžnými kyberzločinci, je tento případ se stenografií v něčem odlišný. Bezpečnostní průmysl totiž doposud nenašel způsob jak spolehlivě detekovat data vyváděná z napadeného systému touto cestou. Obrázky využívané kyberzločinci pro vyvedení ukradených informací jsou velmi velké. Ačkoliv existují algoritmy schopné automaticky detekovat tuto techniku, jejich masové využití by bylo velmi nákladné a vyžadovalo by obrovské množství výpočetního výkonu. Na druhou stranu je poměrně snadné identifikovat obrázek obsahující ukradená cenná data za pomoci manuální analýzy. Tato metoda má nicméně svá omezení vzhledem k tomu, že je bezpečnostní analytik schopný za den zanalyzovat pouze omezené množství obrázků. Řešením je tak kombinace obojího – stoje a lidského faktoru. Společnost Kaspersky Lab pro detekci takovýchto útoků využívá kombinaci technologií pro automatizovanou analýzu a lidský intelekt. Stále ale existuje prostor pro zlepšení, přičemž je naším cílem zaměřit se více na tento problém a prosadit lepší vývoj spolehlivých a dostupných technologií, které by umožnily odhalení stenografie v malwarových útocích,“ uvedl Alexey Shulmin, bezpečnostní odborník ve společnosti Kaspersky Lab.

Štítky: 

Podobné články

„Stalkerware“ na vzestupu

9. 10. 2019. (redaktor: František Doupal, zdroj: Kaspersky)
Množství uživatelů, na jejichž zařízení se útočníci pokusili nainstalovat nejméně jeden stalkerware, dosáhlo během prvních osmi měsíců tohoto roku 37 000. Jde o 35% nárůst oproti stejnému období roku 2018. Stalkerware označuje komerční spyware nejčastěji využívaný jako nástroj pro špionáž blízkých. Čtěte více

Nejvážnější hrozbou pro české uživatele zůstávají trojské koně kradoucí hesla

8. 10. 2019. (redaktor: František Doupal, zdroj: Eset)
České uživatele nadále nejvíce ohrožují útoky, které se snaží získat hesla z prohlížečů. Na předních příčkách se drží třetí měsíc. Další běžnou hrozbou je malware, který útočníkům těží kryptoměny. Útočníci se snaží skrývat malware Fareit, který je již třetí měsíc v řadě nejvážnější hrozbou pro české uživatele. Čtěte více

Novinka společnosti Sophos pomůže s detekcí a odstraňováním hrozeb

7. 10. 2019. (redaktor: František Doupal, zdroj: Sophos)
Pod názvem Sophos Managed Threat Response (MTR) se ukrývá pokročilá služba na detekci a odstraňování hrozeb. Řešení s možností přeprodeje dává organizacím k dispozici dedikovaný bezpečnostní tým s nepřetržitou dostupností schopný zbavit je i těch nejsofistikovanějších a nejkomplexnějších hrozeb. Čtěte více

WannaCry stále infikuje miliony systémů

4. 10. 2019. (redaktor: František Doupal, zdroj: Sophos)
Sophos ve zprávě WannaCry Aftershock popisuje nechvalně slavný malware WannaCry, který v roce 2017 během několika dní infikoval stovky tisíc počítačů. Výzkum SophosLabs ukázal, že hrozba WannaCry je stále aktuální a každý měsíc jsou zastaveny miliony útoků. Ukázalo se navíc, že přestože původní malware už nebyl dále aktualizován, dal vzniknout tisícům krátkodobých variant. Čtěte více