Steganography gehört zu den heimlichsten Cyberbedrohungen.
Steganography ist die Praxis, sensible oder geheime Informationen in etwas scheinbar Normalem zu verstecken. Laut Fred Mastrippolito, Gründer des Cybersicherheitsunternehmens Polito, Inc., ist dies auch eine stark übersehene Cyberbedrohung.
Denn manche Cyberkriminelle schmuggeln gestohlene Daten oder Schadcode heimlich in Bilder, Audiodateien und andere normal aussehende Medien ein, um so geschickt einer Entdeckung zu entgehen.
Was ist steganography?
Kryptografie findet statt, wenn Sie Informationen sehen, aber nicht verstehen können. Steganography findet statt, wenn Informationen verborgen sind. Eine in einem Geheimcode geschriebene Notiz ist Kryptografie; eine mit unsichtbarer Tinte geschriebene Notiz ist steganography .
Personen, die online private oder vertrauliche Informationen austauschen, verwenden beide Methoden. Apps wie Zoom und WhatsApp verwenden End-to-End-Verschlüsselung, um Nachrichten zu verschlüsseln, sodass sie für niemanden außer dem Absender und dem Empfänger lesbar sind. Und Einwohner von Ländern mit Internetzensur verwenden manchmal steganography , um Filter und Firewalls zu umgehen.
Technisch gesehen fällt jede Art von Internetkriminalität unter den Begriff steganography , bei der Benutzer durch den Besuch einer normal aussehenden, nicht geheimen Webseite oder das Anklicken eines harmlosen Anhangs zum Herunterladen von Malware verleitet werden.
Normalerweise reservieren Hacker die ausgefalleneren Formen der steganography – wie das Verstecken von Code in einer Bilddatei – für einmalige, strategische Ziele. Wenn Cybersicherheitsspezialisten den Begriff verwenden, beziehen sie sich normalerweise auf diese fortgeschritteneren oder überraschenderen Anwendungen.
„Wir haben es bei gezielten Angreifern gesehen, bei raffinierteren Gruppen, die wirklich versuchen, nicht unbedingt ein Zahlenspiel zu spielen, sondern sich auf eine bestimmte Organisation zu konzentrieren und Daten daraus zu extrahieren“, sagte Kaspersky- Sicherheitsforscher Kurt Baumgartner. „In der Vergangenheit war dafür zusätzlicher Aufwand und zusätzliches Talent nötig. Es war also nicht ganz so üblich, aber es wird immer üblicher.“
Steganography ist aufwändiger als andere Formen der Cyberkriminalität und wird daher immer eine weniger beliebte Option bleiben, so Mastrippolito. Da Hacker jedoch immer neue Wege finden, um Schadcode oder gestohlene Daten zu verbergen, werden wir wahrscheinlich mehr davon sehen – wenn wir es überhaupt bemerken.
Wie funktioniert steganography?
Wie steganography funktioniert, hängt von der Art der verborgenen Informationen und dem Typ der Datei oder Site ab, in der sie verborgen sind. Viele steganography methoden verbergen beispielsweise Informationen in Bildern.
(Ein antikes Beispiel ist der verbannte spartanische König Demaratus, der, als er erfuhr, dass Xerxes der Große eine Invasion seines Heimatlandes plante, zwei mit Wachs überzogene Tafeln nach Sparta schickte, auf denen absolut nichts geschrieben stand – so schien es zumindest, bis Gorgo, die Königin von Sparta, auf die Idee kam, unter das Wachs zu schauen und eine geheime Warnung entdeckte.)
„Es gibt viele verschiedene Möglichkeiten, steganography – oder den Code selbst – in die Bilder zu implementieren. Es hängt lediglich davon ab, welche Methode der Akteur, der diesen Code erstellt, verwenden möchte“, sagte Jon Clay, VP of Threat Intelligence bei Trend Micro .
Hacker können Daten in Bildern verstecken, indem sie eine Technik namens Least Significant Bit (LSB) verwenden. Bei dieser Methode werden winzige Änderungen an den digitalen Daten eines Bildes vorgenommen, um geheime Werte zu kodieren. Dieses Forschungspapier liefert ein einfaches Beispiel: Stellen Sie sich ein Graustufenbild vor, bei dem jedem Pixel ein Farbname zugewiesen ist, der aus acht „Bits“ besteht, also Einsen und Nullen. Die ersten acht Pixel des Bildes könnten so aussehen:
Nehmen wir nun an, jemand möchte steganography verwenden, um eine Nachricht zu senden, die mit dem Buchstaben Z beginnt. Der binäre Name von Z lautet „10110101“. Durch Ändern des letzten – oder „niedrigstwertigen“ – Bits in einigen der obigen Pixel kann der Benutzer den Buchstaben Z an jeden senden, der die Technik beherrscht, ohne die Farben im Originalbild zu stark zu ändern.
Skalieren Sie diesen Ansatz auf ein Bild mit Tausenden von Pixeln, und diese könnten eine längere Nachricht oder Codezeilen verbergen.
Natürlich funktioniert das Verbergen von Informationen in den Daten eines Bildes nur, wenn niemand den Verdacht hegt, dass das Originalbild manipuliert wurde. Jeder, der Bescheid weiß, könnte die geheime Nachricht schnell entschlüsseln und sehen, welche Daten oder Codes darin verborgen sind.
Wie wird steganography heute eingesetzt?
Im Jahr 2018 geriet das Cybersicherheits-Twitter-Netzwerk ein wenig in Panik, als der Forscher David Buchanan herausfand, wie man Informationen in JPEG-Bilddaten verstecken kann, die es nicht an Twitters Miniaturbildkompressor vorbei schafften. Buchanan twitterte ein Bild von William Shakespeare, das – wenn man es herunterlud und entpackte – die kompletten Werke des Dramatikers enthielt.
„Ich glaube, die meisten Leute waren beeindruckt und überrascht, dass dies möglich war, da sie davon ausgingen, dass Twitter sämtliche Metadaten aus hochgeladenen Bildern entfernt“, sagte Buchanan.
Drei Jahre nach seiner ersten Entdeckung fand er einen Weg, versteckte Informationen an das Ende der Metadaten eines PNG-Bildes auf Twitter anzuhängen. Diese Methode sei sogar besser als seine erste, schrieb er, weil die Daten „zusammenhängend“ blieben, also alle in einem Block.
Einige Sicherheitsexperten befürchten, dass Buchanans Twitter-Techniken Kriminellen dabei helfen könnten, Firmen oder Einzelpersonen anzugreifen. Buchanan sei jedoch kein Fall bekannt, in dem dies geschehen sei, sagt er.
Anfang 2020 versteckte beispielsweise eine Gruppe mutmaßlich russischer Hacker Malware in einem legitimen Software-Update von SolarWinds, dem Hersteller einer beliebten IT-Infrastruktur-Management-Plattform. Den Hackern gelang es, in die Systeme von Microsoft, Intel und Cisco sowie mehrerer US-Behörden einzudringen . Anschließend nutzten sie steganography , um die gestohlenen Informationen als XML-Dateien zu tarnen, erklärte Baumgartner.
Für Hacker ist das Verstecken von Schadcode in einem Bild oder einer Audiodatei nur die halbe Miete. Sie benötigen außerdem ein Schadprogramm oder ein fehlerhaftes Programm auf dem Computer des Ziels, um diesen Code auszuführen. Deshalb verwenden Kriminelle steganography , um schädliche Software in bereits kompromittierte Systeme einzuschleusen.
Ein Cyberdieb könnte beispielsweise versuchen, ein PNG mit schädlichem Code an einen Browser zu senden, der eine bekannte Schwachstelle beim Laden von PNGs aufweist. Oder ein Hacker könnte in das Netzwerk eines Unternehmens eindringen und dann schädliche PNGs verwenden, um Sicherheitsfunktionen zu umgehen und noch mehr Malware zu senden.
Damit steganographisch versteckter Code ausgeführt werden kann, muss es ein anderes kompromittiertes Programm geben, das ihn zunächst entschlüsselt und dann die Kontrolle an diesen Code überträgt, erklärte Mastrippolito. Sobald der bösartige Code ausgeführt wird, kann er Screenshots machen, twittern, auf die Zwischenablage zugreifen, Tastatureingaben überwachen oder versuchen, ein Konto zu übernehmen. Anschließend sendet er wahrscheinlich Daten an einen Command-and-Control-Server mit einem verschleierten Standort zurück. Dies alles geschieht im Hintergrund – das Ziel wird es also wahrscheinlich nicht bemerken –, aber alle Teile müssen an ihrem Platz sein.
Kurz gesagt: Steganografische Angriffe erfordern zwei Schritte, und deshalb wird steganography häufig gezielten Angriffen statt flächendeckenden Angriffen vorbehalten. Jede versteckte Nutzlast muss für ein bestimmtes kompromittiertes System entwickelt werden, und wenn sie einmal geliefert wurde, muss sie tatsächlich ausgeführt werden.
Beispiele für steganography bei Cyberangriffen
E-Commerce-Seiten
Das niederländische Cybersicherheitsunternehmen Sansec entdeckte im September 2020, dass Cybercrime-Gruppen Bild-steganography nutzten, um Zahlungsinformationen von den Checkout-Seiten von Online-Shops zu stehlen.
Diese Art von „Skimming“-Angriff ist weit verbreitet. Dabei fügen Hacker Schadsoftware in den Code der Checkout-Seite eines Einzelhändlers ein. Wenn ein Käufer seine Zahlungsdaten eingibt, werden diese Daten aufgezeichnet und an einen Server an einem entfernten Standort gesendet. Sansec-Gründer Willem de Groot sagte, das Unternehmen habe in den letzten sechs Jahren mehr als 50.000 Online-Shops entdeckt, die Opfer von Skimming-Malware geworden seien.
Das steganografische Element ist jedoch neu. Sansec fand heraus, dass Hacker E-Commerce-Sites ins Visier nahmen, indem sie Malware in Social-Sharing-Bildern versteckten – wie etwa dem blauen Vogel von Twitter oder dem lächelnden Alienkopf von Reddit. Für Käufer und Site-Administratoren sahen die Bilder wie normale Social-Media-Symbole aus. Aber ihre Dateien enthielten den Code für JavaScript-basierte Bots, die die Kreditkartennummern der Käufer aufzeichneten und extrahierten.
Für diese Zahlungsinformationen gebe es einen florierenden Schwarzmarkt, sagte de Groot.
„Die Leute hacken sich in Geschäfte ein, Leute schreiben Schadsoftware, Leute bieten Drittanbieterdienste an, um diese ganze Wirtschaftskette zu unterstützen“, erklärte er.
Und während Diebe pro abgefangener Kreditkarte nur zwischen 5 und 30 US-Dollar verdienen, kann eine einzelne Person Tausende von Geschäften gleichzeitig ins Visier nehmen, da die Arbeit – in diesem Fall das Einschleusen der Bilder und ihres Schadcodes – fast vollständig automatisiert ist.
Normal aussehender Verkehr
Manche Cyberkriminelle nutzen die steganography , um in eine Site oder ein System einzudringen – andere nutzen sie, um die Daten zu verschleiern, die sie im Inneren stehlen.
„Dass [steganography ] zum Exfiltrieren und Hochladen gestohlener Daten verwendet wird, ist etwas ungewöhnlicher, aber es kommt vor“, sagte Baumgartner.
Er hat beispielsweise erlebt, wie böswillige Akteure gestohlene Daten als ausgehenden Domain-Name-System-Datenverkehr tarnen oder als den sehr verbreiteten Datenverkehr, bei dem Site- und Servernamen aus der menschlichen Sprache in die Maschinensprache übersetzt werden.
Malvertising
Eine Malvertising-Kampagne kapert Werbenetzwerke und schleust gefälschte Online-Werbung ein, um Benutzer zum Herunterladen von Malware zu verleiten. Clay hat beobachtet, dass einige dieser Kampagnen Bilder verwenden, um ihren schädlichen Code zu übermitteln.
„Der Einsatz von steganography innerhalb der [Malvertising-]Bedrohungsgemeinschaft scheint zuzunehmen“, sagte er. „Wir haben eine Reihe von Aktivitäten beobachtet, bei denen die steganography -Malware irgendwann in die Kampagne eingefügt wurde.“
Audiodateien
ZDNet berichtete , dass Hacker eine LSB-ähnliche Methode verwendet haben, um Krypto-Mining- Malware in WAV-Dateien zu verstecken .
Technologieunternehmen haben auch Audio-steganography – außerhalb des für Menschen hörbaren Frequenzbereichs – zur geräteübergreifenden Kommunikation eingesetzt. Amazon steht im Verdacht, in einem Super-Bowl-Werbespot für die Sprachassistenten-Software Alexa eine Audio-Nachricht versteckt zu haben, um zu verhindern, dass die Amazon Echos der Zuschauer während der Werbung aktiviert werden. Und die indische Werbefirma SilverPush wurde dabei erwischt, wie sie nicht erkennbare Audiodaten in Fernseh- und Online-Werbung einbaute, damit die Telefone der Verbraucher verfolgen konnten, welche Werbung neu ausgerichtet werden sollte.
Wie erkennen Cybersicherheitsspezialisten steganography ?
Dies ist häufig nicht der Fall. Effektive steganography bleibt per Definition unentdeckt.
Das heißt aber nicht, dass Forscher es nicht versuchen. Und Fortschritte im maschinellen Lernen haben die Bedrohungserkennung präziser gemacht. Algorithmen können eine Menge Daten über das Verhalten normaler Software aufnehmen, was ihnen hilft, abnormale Software schneller zu erkennen.
Sansec überwacht täglich mehr als eine Million Online-Shops, sagte de Groot. Jeden Morgen markiert sein maschinelles Lernsystem zwischen 50 und 100 Shops, auf deren Checkout-Seiten neuer Schadcode hinzugefügt wurde. Das Sansec-Team untersucht diese Seiten manuell und sucht nach Erkenntnissen, die seine Erkennungsalgorithmen verbessern könnten.
„Kriminelle denken sich jede Woche neue Methoden aus“, sagte de Groot. „Es ist also ein sehr, sehr wettbewerbsorientiertes Katz-und-Maus-Spiel, bei dem es darum geht, der anderen Partei immer einen Schritt voraus zu sein.“
Sansec erkennt potenzielle steganografische Angriffe, indem es beispielsweise Code überprüft, der Daten in ein anderes Land überträgt als das, in dem sich die Server eines Shops befinden, sagte de Groot. Doch Kriminelle haben „Tausende von Tricks“, um ihren Code zu verschleiern, und es ist schwierig, den Überblick zu behalten.
„Manchmal dauert es Stunden, bis wirklich festgestellt wird, ob Malware vorhanden ist oder nicht, so raffiniert sind diese Verschleierungstechniken“, sagte de Groot.
Ein weiteres Warnsignal ist laut Baumgartner verdächtig aussehender Datenverkehr. Warum kommuniziert dieser Server plötzlich mit Pastebin oder einem WordPress-Blog? Malware hinterlässt manchmal auch verhaltens- oder speicherbasierte Spuren auf dem Hostcomputer proptech.
Ist bösartige steganography vermeidbar?
Unglücklicherweise nicht.
„Der normale Benutzer kann das auf keinen Fall bemerken“, sagte de Groot. Und viele Websites verfügen nicht über die Ressourcen für eigene Sicherheitsteams.
Der beste Schutz für Verbraucher besteht darin, Apps und Betriebssysteme zu aktualisieren, sobald Updates verfügbar sind. Für Unternehmen besteht der beste Schutz darin, ihre Mitarbeiter über die Cybersicherheitsrisiken normal aussehender Bild- und Audiodateien zu schulen.
„Vielleicht wurde ihnen beigebracht, dass sie ausführbare Dateien im Anhang nicht öffnen sollten. Wenn sie eine Zip-Datei im Anhang haben, sollten sie diese nicht öffnen“, sagte Clay. „Aber vielleicht wurde ihnen nicht beigebracht, dass JPEG- oder BMP-Dateien auch Schadcode enthalten können.“
Wenn Ihnen das zu viel ist, stellen Sie einfach sicher, dass Ihre Mitarbeiter wissen, dass sie bei Nachrichten, die sie zum schnellen Öffnen eines Anhangs drängen, misstrauisch sein müssen.
„Im normalen Geschäftsleben werden Ihre Kollegen nicht sehr streng sein und sagen: ‚Hey, das müssen Sie öffnen‘“, sagte Clay.
Wie geht es weiter mit der steganografischen Cyberkriminalität?
Da audiobasierte Apps (wie zum Beispiel Clubhouse) immer beliebter werden und immer mehr Plattformen ihr Repertoire um Audiofunktionen erweitern, werden audiobasierte steganografische Angriffe wahrscheinlich häufiger vorkommen, vermutet Clay.
Auch der zunehmende Einsatz von Augmented Reality könnte Anlass zur Sorge geben. Kriminelle könnten bösartigen Code in realen Objekten verstecken, sodass diese, wenn sie von manipulierter AR-Software gescannt werden, Malware verbreiten. Dies wäre ein wirklich großes Problem in einer Welt, in der autonome Fahrzeuge physische Objekte scannen, um Entscheidungen darüber zu treffen, wo und wie sie fahren. Forscher der University of Washington und anderer Institutionen haben bereits ein Papier veröffentlicht , in dem sie darlegen, wie schwarz-weiße Aufkleber auf Stoppschildern dazu führen können, dass die Computer-Vision-Algorithmen in selbstfahrenden Autos fehlschlagen.
Die gute Nachricht ist, dass die Entwicklung von steganography teuer und der Einsatz schwierig ist. Die schlechte Nachricht ist, dass sie gelegentlich funktioniert, sodass Cyberkriminelle weiterhin nach neuen Einsatzmöglichkeiten suchen werden.
„Bei diesem speziellen Verbrechen spielt sich die wahre Herausforderung hinter den Kulissen ab, außerhalb des Blickfelds der meisten Menschen“, sagte de Groot. „Aber die Herausforderung ist real, und viele Menschen arbeiten Tag und Nacht daran, der Gegenpartei immer einen Schritt voraus zu sein.“
Dawn Kawamoto hat zu dieser Geschichte beigetragen.