Αρχεία WAV μπορούν να χρησιμοποιηθούν για να κρύψουν κακόβουλο κώδικα
1 min read
Δύο αναφορές που δημοσιεύθηκαν τους τελευταίους μήνες δείχνουν ότι οι επιτήδειοι χάκερς κατάφεραν να αποκρύψουν κακόβουλο κώδικα σε αρχεία ήχου WAV.
Η τεχνική αυτή είναι γνωστή εδώ και καιρό βέβαια και ονομάζεται steganography – η τέχνη της απόκρυψης πληροφοριών σε κοινή θέα θά λέγαμε , σε ένα άλλο μέσο δεδομένων.
Στο πεδίο του λογισμικού, η steganography – επίσης αναφέρεται ως stego – χρησιμοποιείται για να περιγράψει τη διαδικασία της απόκρυψης αρχείων ή κειμένου σε άλλο αρχείο, διαφορετικής μορφής. Για παράδειγμα, να κρύβεται απλό κείμενο μέσα σε δυαδικό αρχείο εικόνας.
Η steganography είναι δημοφιλής για τους επίδοξους χάκερς ωστόσο για περισσότερο από μια δεκαετία. Οι συγγραφείς κακόβουλων προγραμμάτων δεν χρησιμοποιούν steganography για να παραβιάσουν ή να μολύνουν τα συστήματα, αλλά ως μέθοδο μεταφοράς. Η στεγανογραφία επιτρέπει στα αρχεία που κρύβουν κακόβουλο κώδικα να παρακάμπτουν το λογισμικό ασφαλείας και να περνάν απαρατήρητα σε μη εκτελέσιμες μορφές αρχείων (όπως αρχεία πολυμέσων).
Στις προηγούμενες περιπτώσεις είχαμε δει να κρύβεται κακόβουλος κώδικας σε αρχεία εικόνας, όπως PNG ή JEPG.
Το αξιοπρόσεκτο σε όλη την ιστορία είναι ότι πρώτη φορά χρησιμοποιούνται αρχεία ήχου WAV για αυτή τη δουλειά.
Η πρώτη αναφορά ήταν τον Ιούνιο. Οι ερευνητές της Symantec δήλωσαν ότι εντόπισαν μια ρωσική ομάδα κατασκοπείας, γνωστή ως Waterbug (ή Turla), χρησιμοποιώντας αρχεία WAV για να αποκρύψουν και να μεταφέρουν κακόβουλο κώδικα από το διακομιστή τους σε ήδη μολυσμένα θύματα.
Η δεύτερη αναφορά εντοπίστηκε αυτό το μήνα από τη BlackBerry Cylance. Σε μια έκθεση που δημοσιεύθηκε σήμερα η Cylance δήλωσε ότι είδε κάτι παρόμοιο με αυτό που είδε η Symantec μερικούς μήνες πριν.
Όμως, ενώ η έκθεση της Symantec περιγράφει μια επιχείρηση ηλεκτρονικής κατασκοπείας , η Cylance δήλωσε ότι είδαν την τεχνική της στεγανογραφίας σε αρχεία WAV τα οποία επιτυχώς είχαν εγκαταστήσει κακόβουλο λογισμικό crypto-mining.
Συγκεκριμένα ανέφερε ότι στη συγκεκριμένη τεχνική αποκρύβοταν αρχεία DLLs μέσα στα WAV αρχεία ήχου. Το κακόβουλο λογισμικό που υπήρχε ήδη στο μολυσμένο κεντρικό υπολογιστή κατέβαζε και διάβαζε το αρχείο WAV, και εξήγαγε το DLL bit by bit και στη συνέχεια το εκτελούσε εγκαθιστώντας μια εφαρμογή cryptocurrency που ονομάζεται XMRrig.
Ο Josh Lemos, VP της ερευνητικής ομάδας BlackBerry Cylance, δήλωσε στο ZDNet χθες ότι το στέλεχος κακόβουλου λογισμικού που χρησιμοποιεί τη στεγανογραφία WAV εντοπίστηκε σε PC που τρέχαν Windows αλλά και σε Servers.
Αυτό δείχνει ότι οι συγγραφείς κακόβουλου λογισμικού έχουν εξελιχθεί κατά πολύ, καθώς μαθαίνουν διαρκώς και ανακαλύπτουν ευάλωτα σημεία.
Πάντως η παρεμπόδιση των ευάλωτων αρχείων δεν είναι η σωστή λύση, καθώς οι εταιρείες θα καταλήξουν να εμποδίζουν τη λήψη πολλών δημοφιλών μορφών, όπως JPEG, PNG, BMP, WAV, GIF, WebP, TIFF. προκαλώντας χάος στα εσωτερικά δίκτυα και καθιστώντας αδύνατη την πλοήγηση στο σύγχρονο διαδίκτυο.
Ένας σωστός τρόπος αντιμετώπισης της στεγανογραφίας είναι … να μην ασχολείσαι καθόλου με αυτό. Δεδομένου ότι το stego χρησιμοποιείται μόνο ως μέθοδος μεταφοράς δεδομένων, οι εταιρείες θα πρέπει να επικεντρώνονται στην ανίχνευση του σημείου εισόδου / μολυσμένων αρχείων ήτην εκτέλεση του μη εξουσιοδοτημένου κώδικα που δημιουργείται από τα αρχεία που έχουν συνδεθεί με το stego.
Πηγή: zdnet.com
About The Author
