- Cacher les paramètres ou un fichier de configuration du malware (ce dernier étant véhiculé par un autre moyen)
- Fournir une URL au malware pour qu’il puisse recevoir d’autres instructions ou communiquer via un canal de commande et contrôle (C&C)
- Le code du malware en lui-même
Cyberattaque par stéganographie : dissimulation de configuration
Un exemple de dissimulation de configuration est présent dans une variante du trojan Zeus (spécifiquement, KINS/ZeusVM) destinée à voler des informations bancaires. Ainsi, ce malware, une fois présent sur l’ordinateur de la victime, cherche à télécharger une image (la plupart du temps un coucher de soleil, bien que plusieurs variantes cohabitent) depuis un serveur distant. Cette image modifiée contient les informations de configuration de ZeusVM, notamment les sites internet des banques ciblées par le trojan. Une fois que la victime se rend sur un des sites indiqués à l’aide d’un navigateur vulnérable, le malware utilise une technique de man-in-the-browser[i] pour voler les informations de connexions. Comme l’authentification se déroule correctement, les banques (Barclays, Boursorama, ING, Crédit du Nord, Deutsche Bank ou encore Wells Fargo) et les utilisateurs ne se rendent compte de rien. [caption id="attachment_16167" align="aligncenter" width="495"]Cyberattaque par stéganographie : dissimulation d’URL
Un autre trojan bancaire, Vawtrak, utilise un ingénieux système pour mettre à jour la liste de serveurs commande et contrôle (C&C). Ces mises à jour sont cruciales pour les auteurs de malwares. Les communications entre botnets et serveurs C&C sont souvent le premier moyen de détection d’une infection par les logiciels de protection. En modifiant régulièrement les serveurs avec lesquels les hôtes infectés doivent communiquer, la détection de ce canal de communication est d’autant plus difficile. La liste des serveurs C&C de Vawtrak est ainsi mise à jour en téléchargeant une favicon d’un serveur C&C actuel. Un fichier favicon.ico est une icône qui symbolise un site internet pouvant être placée à gauche de la barre d’adresse par les navigateurs. Vawtrak évite la détection en ne téléchargeant la favicon que pendant l’activité légitime de l’utilisateur. Ce comportement n’est pas suspect car les navigateurs ouvrent simultanément plusieurs connexions vers des serveurs différents pour charger tous les contenus d’une page web. De ce fait, le téléchargement d'une favicon pendant le chargement d’une page n’est pas considéré comme une alerte par une sonde IDS par exemple. [caption id="attachment_16171" align="aligncenter" width="480"]Cyberattaque par stéganographie : dissimulation de code
Un Ransomware récent, SyncCrypt, est distribué par le biais de pièces jointes de spam contenant des fichiers portant l’extension .wsf (Windows Script File). S'il est exécuté par l’utilisateur, le script JScript va télécharger une image apparemment banale, la couverture d’un album d’Ólafur Arnalds : « …and They Have Escaped the Weight of Darkness ». [caption id="attachment_16169" align="aligncenter" width="525"]- sync.exe, l’installeur du ransomware
- html et readme.png qui reprennent les instructions dédiées à l’utilisateur pour déchiffrer ses fichiers en envoyant une rançon en Bitcoin
Vue du fichier .zip dans l'image à l'aide d'un éditeur hexadécimal[/caption] La plupart des antivirus ne détectent pas initialement le fichier .wsf de la pièce jointe comme un malware, ce dernier ne fait que télécharger une image depuis un serveur quelconque. Beaucoup plus récemment[iii], une campagne de publicité malicieuse qui ciblait les utilisateurs macOS a eu lieu du 11 au 13 janvier 2019. Une régie publicitaire peu recommandable proposait une publicité (composée d’images et de code JavaScript) qui forçait une redirection des utilisateurs. Ces sites fournissait de fausses mises à jour Adobe Flash qui étaient en réalité des Adwares. Le code JavaScript qui était associé à la publicité était extrêmement léger et apparemment inoffensif. Les hackers ont donc pu éviter la détection par des outils tels que Google Safe Browsing, ReScan, ou Qualys (scan de sites ou plugin dans les navigateurs). Le code malicieux était en réalité stocké dans les images dont l'analyse aurait été trop longue et trop coûteuse. Le code initial :
- Récupère l’image qui contient la charge utile
- Extrait les données de l’image, et les positionne sous forme de chaîne de caractères
- Exécute le code formé par cette chaîne de caractère
L’objectif était encore une fois d’éviter la détection par les outils de protection (outils de code scanning plutôt qu’un antivirus classique).
Stéganalyse
Il est très difficile pour un programme antivirus de classifier un morceau de code apparemment bénin en tant que Malware si ce dernier utilise des techniques de stéganographie. L’analyse de l’ensemble des fichiers médias (images, sons, vidéos) pour chercher une information n'étant pas censée s’y trouver, est un processus impraticable en termes de ressources informatiques. Les techniques de stéganographie permettent aux auteurs de malware de différer leurs détections. Ainsi, les éditeurs et les chercheurs en sécurité prennent du temps à détecter et analyser le malware puis à mettre à jour les signatures anti-virus. Dans ce laps de temps plus ou moins court, la seule défense reste l’éducation et la formation des utilisateurs, car les principaux vecteurs de distribution sont encore le fishing ou le spam. N’hésitez pas à recourir à nos services pour le choix d'outils de protection de votre poste de travail ou tout simplement pour échanger avec l’un de nos experts. Faites appel à un professionnel comme Nomios, contactez-nous (ou au 01.41.10.28.40) !
Références
- Les merveilles (et horreurs) de la Stéganographie numérique : https://blog.emsisoft.com/fr/10637/les-merveilles-et-horreurs-de-la-steganographie-numerique/
- The New Threats of Information Hiding: the Road Ahead : https://arxiv.org/ftp/arxiv/papers/1801/1801.00694.pdf
- Steganography in contemporary cyberattacks : https://securelist.com/steganography-in-contemporary-cyberattacks/79276/
- The mystery of steganography : https://increment.com/security/mystery-of-steganography/
- Digital Steganography as an Advanced Malware Detection Evasion Technique : https://medium.com/@z3roTrust/digital-steganography-as-an-advanced-malware-detection-evasion-technique-40d4eeb19830
[i]https://en.wikipedia.org/wiki/Man-in-the-browser[ii]https://fr.wikipedia.org/wiki/St%C3%A9ganographie#Usage_des_bits_de_poids_faible_d'une_image[iii]https://blog.confiant.com/confiant-malwarebytes-uncover-steganography-based-ad-payload-that-drops-shlayer-trojan-on-mac-cd31e885c202