Steganographie – Hacker verbergen Schadcode in Bilddateien

CyberkriminalitätSicherheit

Immer mehr Cyberkriminelle nutzen die Technologie der Steganographie, um Angriffe durchzuführen oder zu verschleiern. Schutzvorrichtungen gibt es aktuell nicht.

Ein neuer Trend unter Hackern ist die Verwendung von Steganographie. Dabei werden Schadcodes oder abgezogene Daten in Bilddateien versteckt. Die Manipulation ist aber nur mit einigem Aufwand nachzuweisen. Durch einen herkömmlichen Virenscanner werden diese nicht erkannt.

In einem Blog beschreiben die Sicherheitsexperten von Kaspersky das noch junge Phänomen. Hacker nutzen diese Technologie, um Aktivitäten zu verbergen und um vertrauliche Informationen zu stehlen. 

Dieses Bild umfasst 786 486 Bytes. In dem Bild sind außerdem die ersten 10 Kapitel des Romans "Lolita" von Nabokov enthalten. Solche Informationen automatisiert auszulesen sind derzeit für Unternehmenslösungen kaum umzusetzen. (Bild: Kaspersky)
Dieses Bild umfasst 786 486 Bytes. In dem Bild sind außerdem die ersten 10 Kapitel des Romans “Lolita” von Nabokov enthalten. Solche Informationen automatisiert auszulesen sind derzeit für Unternehmenslösungen kaum umzusetzen. (Bild: Kaspersky)

Ein manipuliertes Bild unterscheidet sich optisch nicht vom Original. Sämtliche Eigenschaften wie die Dateigröße, bleiben gleich. Als Folge seien die Angreifer in der Lage, auch Aktivitäten wie Uploads und Downloads zu verbergen.

Usprünglich sei die Steganographie nur in der Cyberspionage eingesetzt worden. Aber auch Cyberkriminelle verwenden inzwischen diese Technik für zielgerichtete Angriffe, vor allem gegen Finanzinstitute und deren Kunden. So wurden die Trojaner Zerp, Kins, Triton und ZeusVM um Steganographiefunktionen erweitert.

“Auch wenn es nicht das erste Mal ist, dass wir beobachtet haben, dass eine ursprünglich von hochentwickelten Hackern verwendete Technik den Weg in die Mainstream-Malware-Landschaft gefunden hat, ist der Fall Steganographie doch besonders wichtig”, erklärte Alexey Shulmin, Sicherheitsforscher bei Kaspersky Lab. “Bisher hat die Sicherheitsbranche keinen Weg gefunden, auf diese Art ausgeführte Datendiebstähle aufzuspüren. Die von den Angreifern für den Transport gestohlener Informationen benutzten Bilder sind sehr groß, und obwohl es einige Algorithmen gibt, die die Technik automatisch erkennen könnten, würde ihre Implementierung enorme Rechenleistung benötigten und die Kosten wären untragbar.”

Ausgewähltes Webinar

Wie modernes Endgeräte-Backup das Problem der Datenmigration löst

Eine durchschnittliche technische Erneuerung beschäftigt die IT sowie den Benutzer ungefähr 2 ½ Stunden. Das geht aber auch anders. Wie, erfahren Sie in diesem Whitepaper.

Derzeit gebe es nur eine wirkliche Alternative zu einer automatischen Erkennung. “Es ist relativ einfach, ein mit gestohlenen Daten gefülltes Bild mit Hilfe einer manuellen Analyse zu erkennen”, ergänzte Shulmin. “Allerdings hat diese Methode ihre Grenzen, da ein Sicherheitsanalyst nur eine sehr begrenzte Anzahl von Bildern pro Tag untersuchen kann.”

Die beste Lösung sei wahrscheinlich eine Mischung aus beiden Methoden. Kaspersky setze bereits auf die Kombination einer automatisierten Analyse und menschlichem Intellekt, um solche Angriffe aufzudecken. Es gebe allerdings noch ausreichend Raum für Verbesserungen. Derzeit gehe es darum, die Aufmerksamkeit der Branche zu wecken, um zuverlässige und erschwingliche Techniken für die Entdeckung von Steganographie in Malware-Angriffen zu entwickeln.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen