Contactez-nous

Cyberattaque par stéganographie et diffusion de malwares

7 min. lecture

Share

La stéganographie est une forme de dissimulation (ou d’offuscation) d’information dans le but de transmettre un message de manière inaperçue au sein d’un autre message. L’information utile est cachée au premier abord et à l’œil nu, mais non protégée pour qui sait où regarder. La stéganographie est donc à mettre en parallèle avec la cryptographie qui dissimule le message en le rendant inintelligible pour toute personne ne disposant pas de la clé. La stéganographie est donc utilisée comme vecteur de cyberattaque. De manière analogue à la cryptanalyse qui étudie la cryptographie, la stéganalyse est la détection de fichiers altérés par un processus de stéganographie. Les méthodes de stéganalyse sont aujourd’hui coûteuses (informatiquement parlant) donc peu utilisées. Ce qui explique l'augmentation du nombre d’attaques utilisant la stéganographie d’une manière ou d’une autre. La stéganographie en tant que telle a plusieurs milliers d’années. Ainsi, des techniques basiques de dissimulation de messages ont été utilisées par les Grecs lors des guerres contre les Perses. Depuis l’avènement de l’informatique, des techniques plus avancées sont utilisées par les créateurs de Malwares pour véhiculer principalement 3 types d’informations :
  • Cacher les paramètres ou un fichier de configuration du malware (ce dernier étant véhiculé par un autre moyen)
  • Fournir une URL au malware pour qu’il puisse recevoir d’autres instructions ou communiquer via un canal de commande et contrôle (C&C)
  • Le code du malware en lui-même
Nous proposons de présenter quelques types de cyberattaques par stéganographie ou malwares qui utilisent une ou plusieurs de ces techniques.

Cyberattaque par stéganographie : dissimulation de configuration

Un exemple de dissimulation de configuration est présent dans une variante du trojan Zeus (spécifiquement, KINS/ZeusVM) destinée à voler des informations bancaires. Ainsi, ce malware, une fois présent sur l’ordinateur de la victime, cherche à télécharger une image (la plupart du temps un coucher de soleil, bien que plusieurs variantes cohabitent) depuis un serveur distant. Cette image modifiée contient les informations de configuration de ZeusVM, notamment les sites internet des banques ciblées par le trojan. Une fois que la victime se rend sur un des sites indiqués à l’aide d’un navigateur vulnérable, le malware utilise une technique de man-in-the-browser[i] pour voler les informations de connexions. Comme l’authentification se déroule correctement, les banques (Barclays, Boursorama, ING, Crédit du Nord, Deutsche Bank ou encore Wells Fargo) et les utilisateurs ne se rendent compte de rien. [caption id="attachment_16167" align="aligncenter" width="495"]
Image légitime (gauche) et image modifiée[/caption] Cette dissociation entre le code du trojan et la configuration stockée dans l’image permet au malware de rester très léger. Il est donc plus difficilement détectable par les moyens de protections habituels (antivirus ou sondes).

Cyberattaque par stéganographie : dissimulation d’URL

Un autre trojan bancaire, Vawtrak, utilise un ingénieux système pour mettre à jour la liste de serveurs commande et contrôle (C&C). Ces mises à jour sont cruciales pour les auteurs de malwares. Les communications entre botnets et serveurs C&C sont souvent le premier moyen de détection d’une infection par les logiciels de protection. En modifiant régulièrement les serveurs avec lesquels les hôtes infectés doivent communiquer, la détection de ce canal de communication est d’autant plus difficile. La liste des serveurs C&C de Vawtrak est ainsi mise à jour en téléchargeant une favicon d’un serveur C&C actuel. Un fichier favicon.ico est une icône qui symbolise un site internet pouvant être placée à gauche de la barre d’adresse par les navigateurs. Vawtrak évite la détection en ne téléchargeant la favicon que pendant l’activité légitime de l’utilisateur. Ce comportement n’est pas suspect car les navigateurs ouvrent simultanément plusieurs connexions vers des serveurs différents pour charger tous les contenus d’une page web. De ce fait, le téléchargement d'une favicon pendant le chargement d’une page n’est pas considéré comme une alerte par une sonde IDS par exemple. [caption id="attachment_16171" align="aligncenter" width="480"]
favicon légitime (gauche) et favicon utilisée par Vawtrak[/caption] [caption id="attachment_16170" align="aligncenter" width="572"]
Dissimulation d'une adresse IP dans une favicon utilisée par Vawtrak[/caption] Pour dissimuler une information dans une image, la technique de base – dite LSB pour least significant bit – consiste à modifier le bit de poids faible des pixels codant l'image. Une image numérique est une suite de points, que l'on appelle pixels, et dont on code la couleur à l'aide d'un triplet d'octets, par exemple pour une couleur RGB sur 24 bits. Chaque octet indique l'intensité de la couleur correspondante – rouge, vert ou bleu (Red Green Blue) – par un niveau parmi 256. Lorsque nous passons d'un niveau n au niveau immédiatement supérieur (n+1) ou inférieur (n-1) nous ne modifions que peu la teinte du pixel, ce que nous obtenons en modifiant le bit de poids faible de l'octet.[ii]

Cyberattaque par stéganographie : dissimulation de code

Un Ransomware récent, SyncCrypt, est distribué par le biais de pièces jointes de spam contenant des fichiers portant l’extension .wsf (Windows Script File). S'il est exécuté par l’utilisateur, le script JScript va télécharger une image apparemment banale, la couverture d’un album d’Ólafur Arnalds : « …and They Have Escaped the Weight of Darkness ». [caption id="attachment_16169" align="aligncenter" width="525"]
Couverture de l'album « …and They Have Escaped the Weight of Darkness » utilisée pour cacher une archive[/caption] Dans cette image se trouve une archive .zip contenant les fichiers suivants :
  • sync.exe, l’installeur du ransomware
  • html et readme.png qui reprennent les instructions dédiées à l’utilisateur pour déchiffrer ses fichiers en envoyant une rançon en Bitcoin
[caption id="attachment_16168" align="aligncenter" width="655"]

Vue du fichier .zip dans l'image à l'aide d'un éditeur hexadécimal[/caption] La plupart des antivirus ne détectent pas initialement le fichier .wsf de la pièce jointe comme un malware, ce dernier ne fait que télécharger une image depuis un serveur quelconque. Beaucoup plus récemment[iii], une campagne de publicité malicieuse qui ciblait les utilisateurs macOS a eu lieu du 11 au 13 janvier 2019. Une régie publicitaire peu recommandable proposait une publicité (composée d’images et de code JavaScript) qui forçait une redirection des utilisateurs. Ces sites fournissait de fausses mises à jour Adobe Flash qui étaient en réalité des Adwares. Le code JavaScript qui était associé à la publicité était extrêmement léger et apparemment inoffensif. Les hackers ont donc pu éviter la détection par des outils tels que Google Safe Browsing, ReScan, ou Qualys (scan de sites ou plugin dans les navigateurs). Le code malicieux était en réalité stocké dans les images dont l'analyse aurait été trop longue et trop coûteuse. Le code initial :

  • Récupère l’image qui contient la charge utile
  • Extrait les données de l’image, et les positionne sous forme de chaîne de caractères
  • Exécute le code formé par cette chaîne de caractère

L’objectif était encore une fois d’éviter la détection par les outils de protection (outils de code scanning plutôt qu’un antivirus classique).

Stéganalyse

Il est très difficile pour un programme antivirus de classifier un morceau de code apparemment bénin en tant que Malware si ce dernier utilise des techniques de stéganographie. L’analyse de l’ensemble des fichiers médias (images, sons, vidéos) pour chercher une information n'étant pas censée s’y trouver, est un processus impraticable en termes de ressources informatiques. Les techniques de stéganographie permettent aux auteurs de malware de différer leurs détections. Ainsi, les éditeurs et les chercheurs en sécurité prennent du temps à détecter et analyser le malware puis à mettre à jour les signatures anti-virus. Dans ce laps de temps plus ou moins court, la seule défense reste l’éducation et la formation des utilisateurs, car les principaux vecteurs de distribution sont encore le fishing ou le spam. N’hésitez pas à recourir à nos services pour le choix d'outils de protection de votre poste de travail ou tout simplement pour échanger avec l’un de nos experts. Faites appel à un professionnel comme Nomios, contactez-nous (ou au 01.41.10.28.40) !

Références

[i]https://en.wikipedia.org/wiki/Man-in-the-browser[ii]https://fr.wikipedia.org/wiki/St%C3%A9ganographie#Usage_des_bits_de_poids_faible_d'une_image[iii]https://blog.confiant.com/confiant-malwarebytes-uncover-steganography-based-ad-payload-that-drops-shlayer-trojan-on-mac-cd31e885c202

Inscrivez-vous à notre newsletter

Recevez dans votre boîte aux lettres électronique les dernières nouvelles sur la sécurité, des informations et les tendances du marché.

À la une

Plus de nouveautés

Placeholder for JO2024 ParisJO2024 Paris
Palo Alto Networks

Faites de votre télétravail une médaille d'or en sécurité avec Palo Alto Networks et Nomios durant les JO

Assurez votre télétravail pendant les JO avec Palo Alto Networks et Nomios

Romain Quinat
Placeholder for Romain QuinatRomain Quinat

Romain Quinat

2 min. lecture
Placeholder for Business man walking streetsBusiness man walking streets
Palo Alto Networks

Urgent : Expiration de certificats Palo Alto Networks le 7 avril

Les certificats racine et par défaut Palo Alto PAN-OS expirent le 7 Avril

2 min. lecture
Placeholder for Design sans titre 1Design sans titre 1
Zscaler

Comment faire du SASE en Chine avec Zscaler ?

Zscaler China Premium Access fournit un accès privilégié aux sites web internationaux, aux applications SaaS et à l'internet domestique en Chine sans investissements matériels coûteux ni difficultés de configuration.

6 min. lecture
Tous les articles