Методы стеганографии становятся популярнее: когда картинка может стать угрозой ИБ

Специалисты по кибербезопасности зафиксировали всплеск случаев применения стеганографии по сетевому вектору. Пользователи, в число которых входят и злоумышленники, скрывают файлы и изображения в TXT-записях DNS. Это позволяет эффективно сохранять целостность вложений и извлекать их с помощью DNS-запросов, но усложняет детектирование на этапе доставки потенциального вредоносного элемента.

Ирина Дмитриева, эксперт и инженер-аналитик компании «Газинформсервис», объяснила схему, по которой метод взят на вооружение киберпреступниками, и рассказала, как защититься от подобных атак.

Как отмечает Дмитриева, подобная траектория внедрения нагрузки включает разбиение файлов на части, их преобразование в шестнадцатеричный формат или строки в кодировке Base64, а затем запись в TXT-поля. «Эти фрагменты могут оставаться нетронутыми до тех пор, пока DNS-сервер не удалит или не обновит данные. Своего рода формат хранения данных с краткосрочной ротацией. Этот подход приобрел название ‘dnsimg’ — и описан как “новый подход к сокрытию данных, использующий повсеместный протокол DNS для хранения визуального контента”», — поясняет Дмитриева.

Ирина Дмитриева объяснила, что процесс начинается с извлечения необработанных двоичных данных из файлов изображений с помощью утилиты командной строки xxd для генерации шестнадцатеричных представлений данных изображения. Далее нетривиальный скрипт на Python автоматизирует процесс сегментации данных, вычисляя общее количество необходимых фрагментов и создавая отдельные DNS-записи для каждого сегмента. Каждому фрагменту присваивается уникальный идентификатор поддомена, а дополнительная запись dnsimg-count содержит общее количество фрагментов для целей восстановления. Механизм извлечения данных использует многопоточные скрипты на Python, которые одновременно запрашивают каждый фрагмент.

«Для минимизации угроз применения стеганографии в целях распространения ВПО в TXT-записях DNS-протокола необходимо применение комплексного технического подхода. В частности, на локальных серверах рекомендуется внедрить ограничительную политику DNS, которая предусматривает ограничения на длину TXT-записей, а также проводить проверки формата данных и блокировать длинные строки шестнадцатеричных данных, Base64 или явно бинарные данные», — подчеркнула инженер-аналитик.

Дмитриева добавила: «Безусловно, для проактивной защиты требуется блокировать вредоносные домены, проводить DNS-фильтрацию и глубокий анализ TXT-записей: здесь не обойтись без NGFW, IDS/IPS и SIEM-решений. Если блокировка по политикам кажется недостаточным или невозможным решением, стоит обратить внимание на паттерны детектирования для SIEM-алертов: структура данных и сигнатуры YARA для поиска известных хэшей вредоносных файлов, фрагментов вредоносных скриптов или С2 из извлекаемых записей TXT. При мониторинге стоит обратить внимание на всплеск запросов к подозрительным доменам. Для решения указанных выше задач предлагаем современное решение для бизнеса — Ankey SIEM NG компании “Газинформсервис”. Отказоустойчивая и масштабируемая SIEM-система поможет покрыть потребности распределённой инфраструктуры в вопросах мониторинга и реагирования на высококритичные инциденты».