"Человек - самое уязвимое место в системе безопасности.."

Современное вредоносное ПО реализует стеганографию для сокрытия данных

На конференции Black Hat Europe ИБ-специалисты Пьер-Марк Бюро и Кристиан Дитрих рассказали о средствах стеганографии, которые реализуют злоумышленники для скрытия вредоносной деятельности.

DDoS-бот под именем Foreign получает с C&C-сервера команды в виде стандартных сообщение о HTTP-ошибке (404). Foreign анализирует обычную страницу 404 для извлечения закодированной команды Base64, которая скрытая между html-тэгами (<comment>). Скрытые данные закодированы в цифровом изображении, которые расшифровываются и собираются в кучу.

Вредонос впервые был обнаружен в 2014 году. Он нужен был для загрузки дополнительного ПО на инфицированный хост. ПО реализует стеганографию для скрытия URL загрузки контента. Вредонос может внедрить в браузер код, который отобразит пользователям специальный контент для похищения учетных записей. Также он может загрузить файл favicon.ico, размещенного в TOR.