La Идеята за скриване на съобщения в изображения и други файлове Звучи като нещо от шпионски филм, но е съвсем реално и много по-често срещано, отколкото си мислите. От вирусни пъзели като Cicada 3301 до мащабни киберпрестъпни операции, стеганографията се е превърнала в ключова техника както за защита на информация, така и за извършване на дискретни онлайн атаки.
В следващите редове ще видите по много изчерпателен начин какво е стеганография, как съобщенията се крият в изображения, аудио, видео или текст, каква е разликата между нея и криптографията, как кибератаките се възползват от нея, какви практически инструменти можете да използвате (като Steghide или Stegosuite) и какви техники съществуват за нейното откриване и смекчаване на злонамерената ѝ употреба.
Какво е стеганография и откъде идва?
Стеганографията е Изкуството и науката за скриване на информация в друг носител (текст, изображение, видео, аудиозапис, мрежов файл или дори физически обект), по такъв начин, че обикновен наблюдател дори не би заподозрял, че има скрито съобщение. Този носител обикновено се нарича „носител“ или „обложка“.
За разлика от криптографията, където съобщението е ясно видимо, но изглежда криптирано и нечетливо, в стеганографията Самият факт, че дадено съобщение съществува, се прикрива.Номерът е, че файлът изглежда напълно нормално за всеки, който не знае трика или паролата.
Терминът идва от гръцки: „стеганос“ (покрит или скрит) и „графеин“ (писане)Не е съвсем ново. Вариации на тази техника вече са били използвани преди хиляди години, за да се надхитрят шпиони, цензори или вражески армии.
Сред най-известните класически примери е този от Древна Гърция, където послание е било написано на дървена дъска и покрито с восък. Оставяйки само невинен текст видим на повърхносттаДруг известен случай, разказан от Херодот, разказва как главата на роб била обръсната, съобщението било написано на скалпа, чакали косата да порасне отново и след това то било изпратено на получателя, който само трябвало да го обръсне отново.
В по-късните векове, невидими мастила (които са били разкрити с топлина или светлина), фотографски микроточки или скрито писане. Важен исторически справочник е книгата „Стеганография“ от Йоханес Тритемиус. В нея той описва множество техники за скриване на съобщения, които по негово време са били смятани за почти черна магия.
Стеганография срещу криптография: разлики и комбинация
Стеганографията и криптографията често се бъркат. В действителност, подходите им са различни, въпреки че Те споделят една и съща цел: да защитят информацията срещу трети страни.
В криптографията съобщението се трансформира с помощта на алгоритми за криптиране и ключове, така че да се превърне в шифрован текст. Всеки може да види, че там има послание, но не може да го разбере. ако нямате правилния ключ.
В стеганографията, от друга страна, съобщението Не е задължително да изглежда криптирано, нито пък е задължително да се променя видимо. Целта е никой да не забележи нищо необичайно. Снимка, аудио файл или документ изглеждат нормално, но съдържат допълнителни данни, скрити в тях.
На практика и двете техники често се комбинират. Първо, информацията се криптира и след това се скрива в изображение, аудио файл или видео. По този начин, Дори ако някой открие скритото съобщение, той все пак ще се натъкне на слой криптиране. който ще се нуждае от ключ за декриптиране.
Тази комбинация от стеганография и криптография е особено интересна в среди на висока чувствителност, шпионаж, контраразузнаване или правителствени комуникацииНо също и в ежедневни сценарии, където някой иска да си осигури малко повече лично пространство.
Как работи дигиталната стеганография
В дигиталния свят повечето съвременни техники се възползват от факта, че всичко се свежда до малки части. Изображения, аудио, видео или документи се представят като низове от нули и единициВ тази информационна мрежа е възможно леко да се „манипулират“ данните, за да се скрият съобщения.
Един от най-известните подходи е стеганографията. "най-малко значим бит" (LSB)Всеки пиксел в изображението, например, е представен от няколко байта, които определят интензитета на червения, зеления и синия цвят (а понякога и алфа канал за прозрачност). Номерът е да се промени само последният бит от тези стойности.
Като променя само този последен бит, Разликата в цветовете е толкова фина, че човешкото око не може да я забележи.Но на двоично ниво информацията наистина се кодира. Бит по бит и пиксел по пиксел могат да се добавят части от съобщение, компресиран файл или всяко друго съдържание.
Връзката между размера на съобщението и размера на носителя е важна. Например, за да се скрие един мегабайт данни с LSB, ще е необходим много по-голям файл с изображение, защото Всеки пиксел допринася само с малко количество скрит капацитет за съхранениеСъщият принцип може да се приложи и към аудио или видео файлове, като се възползва от области, където малки вариации се губят в шума или са незабележими за ухото или окото.
В допълнение към метода LSB, съществуват техники, които си играят с файлови заглавки, вградени метаданни, рядко използвани полета на мрежови протоколи (като TCP, UDP или ICMP) или дори със замествания на думи и букви в дълги текстове, като поставят частите от тайното съобщение на определени интервали.
Основни видове цифрова стеганография
Ако останем в рамките на дигиталната сфера, стеганографията обикновено се класифицира в пет основни категории: текст, изображение, аудио, видео и мрежаВсеки от тях има своите предимства, ограничения и случаи на употреба.
Текстова стеганография
Текстовата стеганография включва скриване на информация в привидно нормални текстови документиТехниките могат да бъдат сравнително прости или доста сложни. Всичко зависи от нивото на сложност.
Някои стратегии се състоят от леко променете формата (допълнителни интервали, стратегически прекъсвания на редовете, почти незабележими промени в типографията), докато други си играят с позицията на думите. Например, като вземат първата или втората буква от всяка дума, за да формират съобщението. Има методи за откриване на скрити символи които улесняват техния анализ.
В исторически план са използвани дълги текстове, в които чрез избиране на всяка n-та дума или буква, скрита фраза беше реконструиранаПроблемът е, че често звучи неестествено. Ако структурата е прекалено натрапчива, текстът може да звучи странно и да предизвика подозрения.
Днес съществуват и автоматизирани подходи, които генерират привидно съгласувани текстове но чието истинско съдържание е кодиране на данни, нещо средно между обработката на естествен език, криптографията и стеганографията.
Стеганография на изображения
Стеганографията в изображенията е може би най-популярната, заради снимките и цифровата графика. Те предлагат милиони пиксели, на които да се играе. и висока степен на толерантност към малки промени.
Започвайки с оригинално изображение (във формати като BMP, JPEG или PNG), най-малко значимите битове от всеки цветен канал се променят или се използват някои излишъци от компресия за инжектиране на информация. Визуалният резултат остава практически идентичен с този с невъоръжено око.
Съвременните инструменти, като Steghide или Stegosuite, автоматизират целия процес. Те компресират секретния файл, като го криптират, ако е необходимо.Те го вграждат в образа на носителя и добавят контролни суми, за да осигурят целостта при извличането му.
Поради огромния обем изображения, които се считат за безопасни в интернет (снимки от социалните медии, банери, лога, мемета...), Те са идеално средство както за законни цели, така и за злонамерени дейности., тъй като те рядко предизвикват тревога сами по себе си.
Аудио стеганография
В аудио стеганографията данните са вградени в цифрови звукови файлове, като например WAV или AU файловеИдеята за LSB може да се приложи и тук, но обикновено е по-сложна, защото човешкото ухо е много чувствително към определени изкривявания.
Техниките се фокусират върху области, където малки модификации се губят в шума или се маскират от други честоти, възползвайки се от свойствата на психоакустика и компресионни кодециВъпреки че ви позволява да скриете информация, това е малко по-деликатен метод, ако искате да сте сигурни, че звукът звучи идентично с оригинала.
Видео стеганография
При работа с видео, изображението и звукът се комбинират, което отваря вратата към скриване на големи обеми от данни разпределени в хиляди кадри и аудио записи.
Има два основни подхода: вграждане на данните в некомпресираното видео и последващо прилагане на компресия, или въведете информацията директно във вече компресирания поток (например, чрез манипулиране на коефициенти на трансформация или параметри на кодека).
Тъй като може да обработва толкова много информация в секунда, видеото е идеално, когато имате нужда скрити канали с висок капацитетВъпреки това, това изисква и повече внимание, за да се избегне въвеждането на видими артефакти или грешки при възпроизвеждане.
Мрежова или протоколна стеганография
Мрежовата стеганография, наричана още протоколна стеганография, се състои от камуфлиране на данни в пакети, които пътуват през интернетНапример, те се възползват от полета, които рядко се използват в TCP, UDP, ICMP или подобни заглавки.
Една привидно нормална комуникация (като например обикновено сърфиране в интернет или ping) може да бъде пренасяне на инструкции, ключове или фрагменти от чувствителна информация без никой да забележи, стига силата на звука да е ниска и движението по пътищата да се слива добре с фоновия шум.
Практични инструменти за скриване на съобщения в изображения
Отвъд теорията, има много достъпни инструменти за всеки, който иска да експериментира със стеганография на своя компютър. Два от най-известните в етичното хакерство и криминалистиката са Стегиде и Стегосюит. Всеки със собствен подход.
Steghide: Конзолна стеганография с вградено криптиране
Стегид Това е помощна програма за команден ред, широко използвана в дистрибуции, ориентирани към сигурността, като Kali Linux. Тя позволява Скриване на файлове в изображения (JPEG, BMP) и аудио (WAV, AU) без съществена промяна на цветните честоти или звуковите характеристики.
Основните му функции включват: компресиране на вградени данни, криптиране (по подразбиране със 128-битово AES) и вмъкването на контролна сума, за да се провери дали извличането е извършено правилно и без грешки.
Основният работен процес със Steghide е прост. Първо, той се инсталира от хранилището на дистрибуцията, например в Kali, с проста команда apt. След това се подготвя файлът, който ще бъде скрит, например secret.txt с поверително съобщение, което може да бъде компресирано в ZIP файл за да се спести място, и е избрано изображение, което да служи като корица.
Командата за вграждане на Steghide ви позволява да укажете секретният файл, файлът на корицата и полученото име на файла който ще съдържа вградените данни. По време на процеса инструментът по избор изисква парола. Тази парола се използва за определяне на специфичните позиции на пикселите, където ще бъдат скрити битовете от секретния файл.
Инструментът има по-подробни режими за преглед на вътрешните детайли на процеса и безшумни опции за Не показвай съобщения на екрана, принуждавай параметрите да презаписват съществуващите файлове и аргументи като -p за предаване на паролата директно в командния ред (въпреки че последното не се препоръчва от съображения за сигурност).
За да извлечете, използвайте подкомандата `extract`, като посочите стеганографското изображение и отново правилната парола. Stehide Той проверява целостта на съдържанието, използвайки контролната сума, и може да запише възстановените данни в определен файл, използвайки съответния аргумент.
Освен това, инструментът предлага допълнителни параметри за контрол на нивото на компресия, предотвратяване на вграждането на името на файла или включването на контролната сума CRC32. Това дава възможност за специфични лабораторни и CTF тестове или сценарии.
Stegosuite: графичен интерфейс за скриване на текст и файлове
За тези, които предпочитат решение с графична среда, Стегосуит Това е много лесна за употреба опция. Може да се инсталира на системи като Ubuntu. директно от хранилищата и ви позволява да работите с изображения по визуален начин.
Типичната употреба включва зареждане на базово изображение (напр. hack.jpg) в програмата и Напишете тайно съобщение в текстовото полеВ допълнение към въвеждането на парола в определеното поле, бутонът „Вграждане“ генерира нов, привидно идентичен файл с изображение, често с име, подобно на оригинала, но със суфикс, като например _embed.
Ако проверите свойствата на двете изображения, често ще видите промени в размера на файла, което показва, че е добавена информация; визуално обаче снимката изглежда абсолютно еднакво.
Обратният процес е също толкова прост. Заредете изображението, съдържащо съобщението, въведете паролата и щракнете върху „Извличане“. Програмата показва скрит текст или възстановява всички вмъкнати файлове, като например друго изображение, текстов документ или друг тип файл.
Едно от предимствата на Stegosuite е, че ви позволява да смесвате текст и вградени файлове, което улеснява... сценарии, в които искате да изпратите както директно съобщение, така и да прикачите допълнително съдържание без да буди подозрение. Просто изтрийте оригиналния скрит файл от локалния диск и го възстановете по-късно от стеганографското изображение.
Легитимни приложения на стеганографията
Не всичко в стеганографията е злонамерен софтуер и киберпрестъпления. Има напълно легитимни случаи на употреба, при които тази техника допринася поверителност, защита на правата или съпротива срещу цензурата.
Едно от тях е да се заобиколи цензурата в страни или среди, където Комуникациите са строго контролираниЖурналисти, активисти или граждани могат да разпространяват чувствителна информация, като я маскират в изображения, видеоклипове или документи, които остават незабелязани от автоматичните филтри.
Друго широко разпространено приложение е цифров воден знакЧрез вграждане на скрита информация в изображения или мултимедийно съдържание може да се установи авторството или да се проследят неоторизирани употреби. Всичко това без показване на видими водни знаци, които развалят външния вид на материала.
Силите за сигурност и правителствените агенции също използват стеганография за обмен на поверителни данни, без да се пораждат подозренияОсобено когато приемат, че комуникациите могат да бъдат прихванати, но не и анализирани задълбочено.
В областта на NFT и дигиталното изкуство експериментирането започва с скрити метаданни или отключваемо съдържание които само собственикът на токена може да вижда: файлове с висока резолюция, лични съобщения, ключове за достъп до ексклузивни общности или дори „съкровища“, скрити в самото произведение на изкуството.
Злонамерена употреба: Стеганография в реални кибератаки
В противоположния край са нападателите, които използват стеганография, за да скриване на злонамерен софтуер, контролни команди или откраднати данни в рамките на привидно безобидни файлове. В киберсигурността това сериозно усложнява откриването.
Един от най-често срещаните модели е Вграждане на злонамерени полезни товари в мултимедийни файловеТъй като изображения, видеоклипове или аудио файлове често се разпространяват без много ограничения, те са идеално средство за въвеждане на код, който по-късно ще бъде извлечен и изпълнен на компютъра на жертвата.
Тази техника се наблюдава в злонамерени рекламни кампании. Например: привидно легитимен онлайн банер може да съдържа вграден зловреден софтуер. код, който при зареждане в браузъра изтегля или изпълнява експлойт от целевата страница, подготвена за тази цел.
Групите за рансъмуер също са използвали стеганография както във фазата на проникване, така и във фазата на извличане. По време на атака те могат да използват изображения или документи. да извлича чувствителни данни, прикрити в привидно легитимни комуникацииизбягване на системи за наблюдение, предназначени да откриват модели на кражба на информация.
Документирани са атаки срещу европейски и японски промишлени компании, при които Изображенията, хоствани в надеждни услуги като Imgur, съдържаха вградени скриптовеТези изображения са били използвани за заразяване на документи на Office (като например електронни таблици в Excel), които от своя страна са изтегляли инструменти като Mimikatz за кражба на идентификационни данни за Windows.
Как се открива стеганография: стеганализ
Дисциплината, която се занимава с откриването на скрити съобщения, се нарича стегоанализТема, която съчетава статистика, анализ на файлове, специализирани инструменти и често малко криминалистична интуиция.
Има помощни програми като СтегЕкспоуз способен на Прилагайте статистически тестове към изображения и други файлове за да се определи дали съдържанието му е било манипулирано чрез стеганография. Те разглеждат например разпределения на битове или аномални модели, които не съвпадат с тези на естествено генериран файл.
Шестнадесетични прегледници и анализатори на метаданни също се използват за откриване странни заглавия, непоследователни полета, необичайни размери или секции, сякаш изпълнени с шумСравняването на подозрителен файл с оригиналната версия е една от най-ясните тактики, за да се види къде и как е бил модифициран.
Най-големият проблем е обемът. С милиони изображения, видеоклипове и документи, качвани в социалните медии и уебсайтове всеки ден, Практически е невъзможно да се проверят всичките им щателно.Следователно, много усилия са насочени към най-критичния трафик и оборудване, като се прилагат правила за приоритизиране и системи за поведенческо разпознаване.
Защитни мерки срещу злонамерена стеганография
Пълната защита срещу стеганография, използвана за злонамерени цели, е много трудна. Въпреки това, могат да се предприемат някои мерки. мерки за смекчаване, които намаляват риска и да увеличат шансовете за откриване.
Първият слой винаги е обучението. Ключово е да се обучат потребителите и служителите да Бъдете внимателни с мултимедийни файлове от неизвестни източнициИзбягвайте отварянето на подозрителни HTML/HTM прикачени файлове и разпознавайте фишинг имейли, които съдържат неочаквани документи или изображения, както и познавайте признаци на фишинг атаки.
На корпоративно ниво е препоръчително да се допълни осведомеността с Уеб филтриране, строги правила за изтегляне и непрекъснати актуализации на корекции за сигурностИдеята е да се затворят уязвимости, които биха могли да бъдат използвани, след като злонамереният файл достигне системата.
Съвременните решения за защита на крайните точки са друг основен стълб. Освен антивирусните програми, базирани на сигнатури, поведенческите двигатели са способни... откриване на аномални дейности, свързани с изпълнението на скрит код, като например процеси, които се стартират след отваряне на изображение или документ, който теоретично е безвреден.
Разузнаването за заплахи също играе решаваща роля. Поддържането на актуална информация Тенденциите при атаките, новите стеганографски техники, открити в реални кампании, и най-засегнатите сектори позволяват коригиране на правилата, моделите и контролите за сигурност.
И накрая, важно е да имате цялостно антивирусно или защитно решение, което се актуализира автоматично и може да изолира, поставя под карантина и премахва злонамерен код, дори когато е комбинирано със стеганография. Въпреки че няма да открие всичко, то добавя още един слой защита.
В крайна сметка, разбирането как работи стеганографията, нейните легитимни приложения и злоупотреби, разбирането на примери от реалния свят, като тези от SolarWinds или скиминг кампании, и практикуването с инструменти като Steghide или Stegosuite, ви позволява да имате много по-критичен поглед върху „невинните“ файлове, циркулиращи в нашите системи и да подобрят както офанзивните си способности (в контролирана и етична среда), така и защитните си способности срещу все по-креативни нападатели.
