En los últimos 10 años, muchos grupos de amenazas han utilizado malware esteganográfico u otras técnicas basadas en esteganografía para atacar organizaciones de todos los sectores y regiones del mundo. Algunos ejemplos son: APT15/Vixen Panda, APT23/Tropic Trooper, APT29/Cozy Bear, APT32/OceanLotus, APT34/OilRig, APT37/ScarCruft, APT38/Lazarus Group, Duqu Group, Turla, Vawtrack, Powload, Lokibot, Ursnif, IceID , ETC.
Nuestra investigación (ver APTO /) muestra que la mayoría de las organizaciones utilizan técnicas muy simples (al menos desde una perspectiva académica) y herramientas conocidas para eludir las defensas perimetrales, aunque las organizaciones más avanzadas también utilizan la esteganografía para ocultar las comunicaciones de C&C y la exfiltración de datos. Creemos que esta inmadurez no se debe a la falta de conocimiento esteganográfico (algunos APT, como Turla, han experimentado con algoritmos avanzados), sino simplemente porque las organizaciones no pueden protegerse incluso contra las técnicas esteganográficas más simples.
Por esta razón, creamos stegoWiper, una herramienta para destruir a ciegas cualquier malware esteganográfico basado en imágenes atacando el punto más débil de todos los algoritmos esteganográficos: su robustez. Hemos comprobado que es capaz de romper todas las técnicas y herramientas de esteganografía actualmente en uso (Invoke-PSImage, F5, Steghide, openstego, etc.), así como los algoritmos de última generación disponibles en la literatura académica, matrix- encriptación basada, wet-papers, etc. (por ejemplo, Hill, J-Uniward, Hugo). De hecho, cuanto más compleja es la técnica de esteganografía, más interferencia genera stegoWiper.
Además, nuestro ataque activo nos permite hacer proxy de los servicios ICAP (Protocolo de adaptación de contenido de Internet) a través de la web (ver c-icap/), en tiempo real y sin identificar primero si una imagen contiene datos ocultos.
Uso y parámetros
stegoWiper v0.1 - Cleans stego information from image files
(png, jpg, gif, bmp, svg)
Usage: ${myself} [-hvc ]
Ejemplo: romper la esteganografía
stegowiper.sh -c "stegoWiped" ursnif.png ursnif_clean.png
Este ejemplo/ El catálogo incluye varias imágenes base que se han utilizado para ocultar información secreta utilizando diferentes algoritmos de esteganografía y los resultados de limpiarlas con stegoWiper.
¿Como funciona esto?
stegoWiper elimina todas las anotaciones de metadatos del archivo de entrada y también agrega algo de ruido imperceptible a la imagen (no importa si realmente contiene una carga oculta o no). Si la imagen contiene una carga útil esteganográfica, este ruido aleatorio la alterará, por lo que si intenta extraerla, fallará o se corromperá, por lo que el malware esteganográfico no podrá ejecutarse.
Probamos una variedad de ruidos (uniforme, Poisson, Laplaciano, impulso, multiplicativo) y niveles de ruido, y el mejor en términos de interrupción de la carga útil y reducción del impacto en la imagen de entrada fue el ruido gaussiano (ver prueba/ para nuestro resumen experimental). También vale la pena señalar que dado que el ruido es aleatorio y está distribuido por toda la imagen, un atacante no tiene forma de saber cómo evitarlo. Esto es importante porque otros autores proponen cambios deterministas (como borrar los bits menos significativos de todos los píxeles), para que los atacantes puedan pasarlos por alto fácilmente (como usar solo el segundo bit menos significativo).
Autor y Licencia
El proyecto fue desarrollado por el Dr. Alfonso Muñoz y el Dr. Manuel Urueña, y el código se publica bajo la Licencia Pública General GNU v3.
