211service.com
De groeiende dreiging van netwerkgebaseerde steganografie
In 2011 ontdekten onderzoekers van het Laboratorium voor Cryptografie en Systeembeveiliging in Boedapest, Hongarije, een ongebruikelijke vorm van kwaadaardige software. Deze malware nestelt zich in Microsoft Windows-machines, verzamelt informatie over met name industriële controlesystemen en stuurt deze vervolgens via internet naar het commando- en controlecentrum. Na 36 dagen verwijdert de malware zichzelf automatisch, waardoor het bijzonder moeilijk te vinden is.
Ze noemden dit malware Duqu omdat het bestanden maakt met het voorvoegsel ~DQ.
De software was in een aantal opzichten ongebruikelijk. Ten eerste merkten beveiligingsonderzoekers op dat Duqu een opmerkelijke gelijkenis vertoont met de Stuxnet-malware die naar verluidt is ontwikkeld door Amerikaanse en Israëlische cyberoorlogsteams om de nucleaire capaciteiten van Iran aan te vallen. Een beveiligingsteam zei dat het bijna identiek was aan Stuxnet, maar met het totaal andere doel om informatie te verzamelen in plaats van aan te vallen.
Het meest intrigerend is echter de manier waarop Duqu informatie terugstuurt naar zijn controlecentrum. Het codeert deze informatie eerst en sluit het vervolgens in een JPEG-bestand in, zodat het eruitziet als een onschuldige afbeelding, een praktijk die bekend staat als steganografie. Terwijl codering informatie beschermt, verbergt steganografie het bestaan van een bericht in de eerste plaats.
Onderzoekers bestuderen Duqu nog steeds om precies het doel ervan te achterhalen en te begrijpen wie het heeft gemaakt. Maar het feit dat deze malware steganografie gebruikt om informatie via internet te verzenden, maakt deel uit van een zorgwekkende trend. In 2008 werd het Amerikaanse ministerie van Justitie het slachtoffer van steganografie toen gevoelige financiële details zouden zijn gelekt die verborgen waren in JPEG-afbeeldingen. In 2002 bleek een kinderporno-ring informatie uit te wisselen met behulp van steganografie. En het is bekend dat een Russische spionagering die in New York is ontdekt, steganografie heeft gebruikt om informatie terug te sturen naar zijn meesters.
Dat roept een aantal belangrijke vragen op. Hoe wijdverbreid is op internet gebaseerde steganografie, wat voor soort technieken gebruikt het en hoe kan het worden bestreden?
Vandaag krijgen we een gedeeltelijk antwoord dankzij het werk van Steffen Wendzel bij de onderzoeksgroep cyberdefensie van het Fraunhofer Instituut voor communicatie, informatieverwerking en ergonomie in Bonn, Duitsland, en een paar vrienden. Deze jongens geven een overzicht van de manier waarop malware geheime informatie verbergt in gewone netwerktransmissies en laten zien dat het aantal verschillende methoden de afgelopen jaren dramatisch is toegenomen.
Hun specifieke focus ligt op netwerksteganografie - het verbergen van informatie in gewone netwerktransmissies in plaats van op USB-sticks of in fysieke afbeeldingen, enzovoort. Ze wijzen erop dat die netwerksteganografie vooral aantrekkelijk is omdat er in principe geen limiet is aan de hoeveelheid informatie die kan worden verzonden, in tegenstelling tot bijvoorbeeld een USB-stick.
Bovendien zijn de mogelijkheden om informatie in netwerktransmissies te verbergen in hoog tempo gegroeid. Een aantal benaderingen was met name gericht op IP-telefonieprogramma's zoals Skype, die de laatste jaren steeds populairder zijn geworden.
In het verleden hebben netwerksteganografen gebruik gemaakt van de TCP/IP-protocollen die headers hebben die informatie bevatten voor het routeren van gegevens over het internet. Deze headers hebben ook ongebruikte velden die relatief eenvoudig kunnen worden gebruikt om verborgen informatie te dragen.
Wendzel en co zeggen dat de focus van aanvallen de afgelopen jaren is verschoven naar applicaties en diensten op een hogere laag, zoals Skype, Bit Torrent en Google Search, en naar nieuwe netwerkomgevingen zoals cloud computing. Onlangs hebben we een verandering ervaren in de selectie van verborgen gegevensdragers, zeggen ze.
Een benadering die bijvoorbeeld transcoderingssteganografie of TranSteg wordt genoemd, is om spraakgegevens te comprimeren zodat deze minder ruimte in beslag nemen en om de ruimte die hierdoor vrijkomt te gebruiken om geheime gegevens te vervoeren.
Een andere aanval op spraakgegevens is het identificeren van de gegevenspakketten die verband houden met de stilte tussen woorden. Deze kunnen dan worden verpakt met geheime gegevens.
Een alternatieve benadering is om Google-zoekopdrachten aan te vallen, die een lijst met de 10 meest populaire gerelateerde zoektermen weergeven terwijl de gebruiker typt. Eén aanval onderschept de suggesties van de servers van Google en voegt een uniek woord toe aan het einde van elk van de 10 voorgestelde zinnen. De ontvanger extraheert eenvoudig deze toegevoegde woorden en zet ze om in een bericht met behulp van een eerder gedeelde opzoektabel.
Misschien wel de meest verontrustende trend is de groeiende capaciteit van smartphones, die tegenwoordig mogelijkheden hebben die in het recente verleden alleen beschikbaar waren op desktops en laptops. Smartphones bieden een arsenaal aan steganografische mogelijkheden vanwege hun vermogen om audio, video, stilstaande beelden en tekstbestanden van verschillende soorten op te nemen en te verzenden. Bovendien zijn ze duidelijk mobiel en kunnen ze automatisch verbinding maken met verschillende netwerken.
Het meest angstaanjagende van allemaal, deze apparaten zijn uniek kwetsbaar. De beveiligingslagen die in mobiele besturingssystemen worden gebruikt, blijken nauwelijks toereikend, zeggen Wendzel en co.
Een vorm van malware, SoundComber genaamd, legt persoonlijke gegevens vast, zoals de cijfers die tijdens een telefoongesprek in het toetsenbord van een smartphone zijn ingevoerd, en verzendt deze vervolgens met behulp van een van een aantal verschillende methoden, zoals vooraf gedefinieerde trillingspatronen, door veranderingen in het volumeniveau van de beltoon, door het scherm te vergrendelen en te ontgrendelen, enzovoort.
Dit alles vormt een grote bedreiging. Er blijven meer dan honderd technieken over die geheime gegevens overdragen met behulp van meta-informatie, zoals header-elementen of de timing van netwerkpakketten, zeggen Wendzel en co.
Het probleem is natuurlijk om computers te herkennen die zijn geïnfecteerd met steganografische malware, hetzij door rechtstreeks naar de malware zelf te zoeken, hetzij door te zoeken naar de veelbetekenende tekenen van steganografie in de gegevens die ze verzenden.
Dat is makkelijker gezegd dan gedaan. Antimalwaresoftware zoekt over het algemeen naar een vooraf gedefinieerde set bestanden waarvan bekend is dat ze problematisch zijn. Er is ook software die bescherming biedt tegen datalekken die het uitgezonden verkeer normaliseert in de hoop dat dit netwerksteganografie voorkomt. Andere systemen gebruiken machine learning om de verklikkersignalen van steganografie te detecteren.
Geen van deze benaderingen is echter perfect of komt er ook maar in de buurt. Tegenmaatregelen kunnen niet al deze beschikbare verbergtechnieken tegelijkertijd aanpakken vanwege de complexiteit en diversiteit van protocollen en diensten, zeggen Wendzel en co.
Ze wijzen erop dat voordat een tegenmaatregel kan worden gebouwd die dit doet, onderzoekers een nieuwe reeks fundamentele benaderingen moeten bedenken om de nieuw evoluerende vormen van steganografie tegen te gaan.
Eén ding is zeker: de detectie en preventie van netwerksteganografie zal een steeds grotere uitdaging worden naarmate de dreiging van malware zoals Duqu zich verspreidt. Wees gewaarschuwd!
Referentie: arxiv.org/abs/1407.2029 : Verborgen en ongecontroleerd - Over de opkomst van steganografische netwerkbedreigingen