Hackeři používají zcela novou techniku k napadání počítačů

17. 8. 2017. (redaktor: František Doupal, zdroj: Kaspersky Lab)
Analytici společnosti Kaspersky Lab zaznamenali nový znepokojivý trend. Během analýzy řady kyberšpionážních a kyberkriminálních kampaní zjistili, že hackeři čím dál častěji používají stenografii – digitální formu staré techniky ukrývání informací do obrazu. Tím se snaží skrýt stopy své zákeřné aktivity v infikovaných počítačích.
Foto: Pixabay.com

V poslední době se podařilo zachytit několik malwarových aktivit zaměřených na kyberšpionáž a krádeže finančních informací využívajících tuto techniku.

V průběhu běžného cíleného kyberútoku si útočníci po úspěšné infiltraci napadené sítě snaží vybudovat stabilní zázemí. Následně sbírají informace, které posílají na příkazový a řídicí server. Bezpečnostní řešení nebo bezpečnostní odborníci jsou ve většině případů schopni zaznamenat přítomnost kyberzločinné aktivity v síti v její jakékoliv fázi, včetně finální, kdy infekce opouští systém. Během ní totiž útok v systému zanechá své stopy, jako jsou například protokolovaná připojení k neznámé nebo zakázané IP adrese. Když je ale v průběhu útoku využita stenografie, stává se detekce této finální fáze velmi obtížnou.

Při takovém scénáři útočníci vloží informace, které chtějí ukrást, přímo do kódu jednoduchého vizuálního obrazového nebo video souboru, který následně odešlou do C&C. Kvůli tomu je nepravděpodobné, že podobná událost bude detekována bezpečnostním řešením. Je to způsobeno tím, že po zásahu útočníkem nedojde k vizuální změně obrázku, ani ke změně jeho velikosti a dalších parametrů, čímž tedy nevyvolají žádný poplach. Stenografie je tak lákavou technikou pro hackery především v situaci, kdy chtějí dostat ukradená data z napadené sítě.

V průběhu několika posledních měsíců pozorovali odborníci Kaspersky Lab minimálně tři kyberšpionážní operace, které tuto techniku využily. Více alarmující však je, že si tuto techniku osvojují i běžní kyberzločinci. Odborníci Kaspersky Lab se s ní setkali u pokročilých verzí trojských koní Zerp, ZeusVM, Kins, Triton a dalších. Většina z těchto malwarových rodin útočí převážně na finanční instituce a uživatele finančních služeb. Stáváme se tak svědky přicházející masové adopce této techniky ze strany tvůrců malwaru, což bude mít důsledek na složitější detekci malwaru.

„I když to není poprvé, co se setkáváme s využitím pokročilé zákeřné techniky běžnými kyberzločinci, je tento případ se stenografií v něčem odlišný. Bezpečnostní průmysl totiž doposud nenašel způsob jak spolehlivě detekovat data vyváděná z napadeného systému touto cestou. Obrázky využívané kyberzločinci pro vyvedení ukradených informací jsou velmi velké. Ačkoliv existují algoritmy schopné automaticky detekovat tuto techniku, jejich masové využití by bylo velmi nákladné a vyžadovalo by obrovské množství výpočetního výkonu. Na druhou stranu je poměrně snadné identifikovat obrázek obsahující ukradená cenná data za pomoci manuální analýzy. Tato metoda má nicméně svá omezení vzhledem k tomu, že je bezpečnostní analytik schopný za den zanalyzovat pouze omezené množství obrázků. Řešením je tak kombinace obojího – stoje a lidského faktoru. Společnost Kaspersky Lab pro detekci takovýchto útoků využívá kombinaci technologií pro automatizovanou analýzu a lidský intelekt. Stále ale existuje prostor pro zlepšení, přičemž je naším cílem zaměřit se více na tento problém a prosadit lepší vývoj spolehlivých a dostupných technologií, které by umožnily odhalení stenografie v malwarových útocích,“ uvedl Alexey Shulmin, bezpečnostní odborník ve společnosti Kaspersky Lab.

Štítky: 

Podobné články

Sophos představil nové možnosti cloudového zabezpečení

7. 8. 2020. (redaktor: František Doupal, zdroj: Sophos)
Sophos představil nové možnosti cloudového zabezpečení pro Intercept X for Server with Endpoint Detection and Response (EDR), které bezpečnostním analytikům a IT administrátorům poskytnou přehled a umožní jim zabezpečit kompletní cloudová prostředí. Čtěte více

Hackeři zneužívají pro maskování phishingových útoků veřejné cloudy

4. 8. 2020. (redaktor: František Doupal, zdroj: Check Point)
Kyberbezpečnostní společnost Check Point varuje před novým trendem. Hackeři zneužívají pro maskování phishingových útoků Google Cloud Platform (GCP). Pomocí pokročilých funkcí v oblíbeném cloudovém úložišti mohou lépe maskovat škodlivé aktivity a oklamat uživatele, který by jinak u podezřelé domény nebo webové stránky bez certifikátu HTTPS zpozorněl. Čtěte více

Největší škody firmám působí nabourané uživatelské účty zaměstnanců

3. 8. 2020. (redaktor: František Doupal, zdroj: IBM)
Z celosvětové studie IBM mapující finanční dopad úniků dat vyplývá, že události tohoto druhu stojí napadenou firmu v průměru 3,86 milionu dolarů, tedy přes 86 milionů korun. Největší škody přitom způsobilo prolomení uživatelských účtů zaměstnanců. Čtěte více

Novinky z konference Microsoft Inspire 2020

3. 8. 2020. (redaktor: František Doupal, zdroj: Microsoft)
Již 17. ročník konference Microsoft Inspire se letos poprvé uskutečnil zcela online. Jako každý rok i letos byla konference skvělou příležitostí pro partnery Microsoftu, spojit se s ostatními, ohlédnout se za uplynulým rokem a současně se i podívat na budoucí trendy. Čtěte více