A esteganografia, a prática de ocultar informações, existe há séculos. Mais recentemente, tem sido associada a algumas formas de ataques virtuais. Continue lendo para saber mais sobre exemplos de esteganografia, tipos de esteganografia e esteganografia em segurança virtual.
O que é esteganografia?
Esteganografia é a prática de ocultar informações dentro de outra mensagem ou objeto físico para evitar a detecção. A esteganografia pode ser usada para ocultar praticamente qualquer tipo de conteúdo digital, incluindo texto, imagem, vídeo ou conteúdo de áudio. Esses dados ocultos são extraídos em seu destino.
Às vezes, o conteúdo oculto por esteganografia é criptografado antes de ser ocultado em outro formato de arquivo. Se não estiver criptografado, pode ser processado de alguma forma para dificultar a detecção.
Como forma de comunicação encoberta, a esteganografia às vezes é comparada à criptografia. No entanto, os dois não são os mesmos, pois a esteganografia não envolve embaralhar os dados no envio ou usar uma chave para decodificá-los no recebimento.
O termo "esteganografia" vem das palavras gregas "steganos" (que significa oculto ou coberto) e "graphein" (que significa escrita). A esteganografia tem sido praticada de várias formas há milhares de anos para manter as comunicações privadas. Por exemplo, na Grécia antiga, as pessoas esculpiam mensagens na madeira e depois usavam cera para escondê-las. Os romanos usavam várias formas de tintas invisíveis, que podiam ser decifradas quando o calor ou a luz eram aplicados.
A esteganografia é relevante para a segurança virtual porque as gangues de ransomware e outros agentes de ameaças geralmente ocultam informações ao atacar um alvo. Por exemplo, eles podem ocultar dados, ocultar uma ferramenta maliciosa ou enviar instruções para servidores de comando e controle. Eles poderiam colocar todas essas informações em arquivos de imagem, vídeo, som ou texto aparentemente inócuos.
Como a esteganografia funciona
A esteganografia funciona ocultando informações de forma a evitar suspeitas. Uma das técnicas mais prevalentes é chamada de esteganografia de "bit menos significativo" (LSB). Isso envolve incorporar as informações secretas nos bits menos significativos de um arquivo de mídia. Por exemplo:
- Em um arquivo de imagem, cada pixel é composto de três bytes de dados correspondentes às cores vermelho, verde e azul. Alguns formatos de imagem alocam um quarto byte adicional para transparência, ou "alfa".
- A esteganografia de LSB altera o último bit de cada um desses bytes para ocultar um bit de dados. Portanto, para ocultar um megabyte de dados usando esse método, você precisaria de um arquivo de imagem de oito megabytes.
- Modificar o último bit do valor do pixel não resulta em uma alteração visualmente perceptível na imagem, o que significa que qualquer pessoa que visualizar o original e as imagens modificadas esteganograficamente não conseguirá perceber a diferença.
O mesmo método pode ser aplicado a outras mídias digitais, como áudio e vídeo, em que os dados são ocultados em partes do arquivo que resultam na menor alteração na saída audível ou visual.
Outra técnica de esteganografia é o uso de substituição de palavras ou letras. É aqui que o remetente de uma mensagem secreta oculta o texto, distribuindo-o dentro de um texto muito maior, colocando as palavras em intervalos específicos. Embora esse método de substituição seja fácil de usar, ele também pode fazer com que o texto pareça estranho e deslocado, pois as palavras secretas podem não se encaixar logicamente nas frases-alvo.
Outros métodos de esteganografia incluem ocultar uma partição inteira em um disco rígido ou incorporar dados na seção de cabeçalho de arquivos e pacotes de rede. A eficácia desses métodos depende da quantidade de dados que eles podem ocultar e da facilidade com que são detectados.
Tipos de esteganografia
De uma perspectiva digital, existem cinco tipos principais de esteganografia. São eles:
- Esteganografia de texto
- Esteganografia de imagem
- Esteganografia de vídeo
- Esteganografia de áudio
- Esteganografia de rede
Vejamos cada um deles em maiores detalhes:
Esteganografia de texto
A esteganografia de texto envolve ocultar informações dentro de arquivos de texto. Isso inclui alterar o formato do texto existente, alterar palavras dentro de um texto, usar gramáticas livres de contexto para gerar textos legíveis ou gerar sequências de caracteres aleatórios.
Esteganografia de imagem
Isso envolve ocultar informações em arquivos de imagem. Na esteganografia digital, as imagens costumam ser usadas para ocultar informações porque há um grande número de elementos na representação digital de uma imagem e várias maneiras de ocultar as informações dentro de uma imagem.
Esteganografia de áudio
A esteganografia de áudio envolve a incorporação de mensagens secretas em um sinal de áudio que altera a sequência binária do arquivo de áudio correspondente. Esconder mensagens secretas em som digital é um processo mais difícil em comparação com outros.
Esteganografia de vídeo
É aqui que os dados são ocultados em formatos de vídeo digital. A esteganografia de vídeo permite que grandes quantidades de dados sejam ocultadas em um fluxo de imagens e sons em movimento. Dois tipos de esteganografia de vídeo são:
- Incorporar dados em vídeo bruto descompactado e comprimi-lo posteriormente
- Incorporar dados diretamente no fluxo de dados compactado
Esteganografia de rede
A esteganografia de rede, às vezes conhecida como esteganografia de protocolo, é a técnica de incorporação de informações em protocolos de controle de rede usados na transmissão de dados, como TCP, UDP, ICMP, etc.
Esteganografia x criptografia
A esteganografia e a criptografia compartilham o mesmo objetivo, que é o de proteger uma mensagem ou informação de terceiros, mas se utilizam de mecanismos diferentes para alcançá-lo. A criptografia altera as informações para texto cifrado que só pode ser entendido com uma chave de descriptografia. Isso significa que, se alguém interceptar essa mensagem criptografada, poderá ver facilmente que alguma forma de criptografia foi aplicada. Por outro lado, a esteganografia não altera o formato da informação, mas sim oculta a existência da mensagem.
Esteganografia e NFTs
Existe alguma sobreposição entre esteganografia e NFTs ou tokens não fungíveis. A esteganografia é uma técnica para ocultar arquivos dentro de outros arquivos, seja uma imagem, um texto, um vídeo ou outro formato de arquivo.
Quando você cria um NFT, geralmente tem a opção de adicionar conteúdo adicional que só pode ser revelado pelo detentor do NFT. Esse conteúdo pode ser qualquer coisa, incluindo conteúdo de alta definição, mensagens, conteúdo de vídeo, acesso a comunidades secretas, códigos de desconto ou mesmo contratos inteligentes ou "tesouros".
À medida que o mundo da arte continua a evoluir, as técnicas de NFT mudam com ele. Projetar NFTs com metadados privados é algo que podemos esperar ver mais no futuro e aplicado de diferentes maneiras – como jogos, paywalls, ingressos para eventos e assim por diante.
Usos da esteganografia
Nos últimos tempos, a esteganografia tem sido usada principalmente em computadores com dados digitais sendo as operadoras e redes sendo os canais de entrega de alta velocidade. Os usos da esteganografia incluem:
- Evitar a censura: usada para enviar informações de notícias sem que sejam censuradas e sem medo de que as mensagens sejam rastreadas até o remetente.
- Marca d'água digital: usada para criar marcas d'água invisíveis que não distorçam a imagem, podendo rastrear se foi usada sem autorização.
- Proteção de informações: usada pelas agências de aplicação da lei e governamentais para enviar informações altamente confidenciais a outras partes sem atrair suspeitas.
Como a esteganografia é usada para realizar ataques
Do ponto de vista da segurança virtual, os agentes de ameaças podem usar a esteganografia para incorporar dados maliciosos em arquivos aparentemente inócuos. Como a esteganografia requer um esforço e nuances significativos para acertar, seu uso geralmente envolve agentes de ameaças avançadas com alvos específicos em mente. Aqui estão algumas maneiras pelas quais os ataques podem ser entregues via esteganografia:
Ocultação de cargas maliciosas em arquivos de mídia digital
As imagens digitais podem ser os alvos principais porque contêm muitos dados redundantes que podem ser manipulados sem alterar visivelmente a aparência da imagem. Como seu uso é tão difundido no cenário digital, os arquivos de imagem tendem a não levantar bandeiras vermelhas sobre intenções maliciosas. Vídeos, documentos, arquivos de áudio e até mesmo assinaturas de email também oferecem possíveis meios alternativos para o uso de esteganografia para plantar cargas maliciosas.
Ransomware e exfiltragem de dados
As gangues de ransomware também aprenderam que usar a esteganografia pode ajudá-los a realizar seus ataques. A esteganografia também pode ser usada no estágio de exfiltragem de dados de um ataque virtual. Ao ocultar dados confidenciais em comunicações legítimas, a esteganografia fornece um meio de extrair dados sem ser detectado. Com muitos agentes de ameaças agora vendo a exfiltragem de dados como o principal objetivo dos ataques virtuais, os especialistas em segurança estão melhorando na implementação de medidas para detectar quando os dados estão sendo extraídos, geralmente monitorando o tráfego de rede criptografado.
Ocultação de comandos em páginas da Web
Atores de ameaças podem ocultar comandos para suas implantações em páginas da Web com espaços em branco e em logs de depuração publicados em fóruns, fazer upload de dados roubados em imagens e manter a persistência armazenando código criptografado em locais específicos.
Malvertising
Atores de ameaças que conduzem campanhas de malvertising podem tirar proveito da esteganografia. Eles podem incorporar código malicioso em banners de anúncios online que, quando carregados, extraem código malicioso e redirecionam os usuários para uma página de destino do kit do exploit.
Exemplos de esteganografia usados em ataques virtuais
Skimming de comércio eletrônico
Em 2020, a plataforma holandesa de segurança de comércio eletrônico Sansec publicou uma pesquisa que mostrou que os agentes de ameaças incorporaram malware de clonagem dentro de gráficos vetoriais escaláveis (SVG, Scalable Vector Graphics) em páginas de checkout de comércio eletrônico. Os ataques envolveram uma carga maliciosa oculta dentro de imagens SVG e um decodificador oculto separadamente em outras partes das páginas da Web.
Os usuários que inseriram seus dados nas páginas de checkout comprometidas não notaram nada suspeito porque as imagens eram logotipos simples de empresas conhecidas. Como a carga útil estava contida no que parecia ser o uso correto da sintaxe do elemento SVG, os scanners de segurança padrão que procuravam sintaxe inválida não detectavam a atividade maliciosa.
SolarWinds
Também em 2020, um grupo de hackers escondeu malware dentro de uma atualização de software legítima da SolarWinds, fabricante de uma popular plataforma de gerenciamento de infraestrutura de TI. Os hackers invadiram com sucesso a Microsoft, a Intel e a Cisco, além de várias agências governamentais dos EUA. Em seguida, eles usaram esteganografia para disfarçar as informações que estavam roubando como arquivos XML aparentemente benignos servidos em corpos de resposta de HTTP a partir de servidores de controle. Os dados de comando dentro desses arquivos foram disfarçados como diferentes sequências de texto.
Empresas industriais
Novamente em 2020, empresas no Reino Unido, Alemanha, Itália e Japão foram atingidas por uma campanha usando documentos esteganográficos. Os hackers evitaram a detecção usando uma imagem esteganográfica carregada em plataformas de imagem respeitáveis, como Imgur, para infectar um documento do Excel. Mimikatz, um malware que rouba senhas do Windows, foi baixado por meio de um script secreto incluído na imagem.
Como detectar a esteganografia
A prática de detectar a esteganografia é chamada de "esteganálise". Existem várias ferramentas que podem detectar a presença de dados ocultos, incluindo StegExpose e StegAlyze. Os analistas podem usar outras ferramentas de análise geral, como visualizadores hexadecimais, para detectar anomalias nos arquivos.
No entanto, encontrar arquivos que foram modificados por esteganografia é um desafio, até porque saber por onde começar a procurar dados ocultos nas milhões de imagens que são carregadas nas redes sociais todos os dias é praticamente impossível.
Mitigação de ataques baseados em esteganografia
Usar a esteganografia durante um ataque é relativamente fácil. Proteger-se contra isso é muito mais complicado, pois os agentes de ameaças estão se tornando mais inovadores e criativos. Algumas medidas de mitigação incluem:
- O treinamento em segurança virtual pode aumentar a conscientização sobre os riscos envolvidos no download de mídia de fontes não confiáveis. Ele também pode ensinar as pessoas a identificar emails de phishing que contenham arquivos maliciosos e entender a prevalência da esteganografia como uma ameaça virtual. Em um nível básico, ensine as pessoas a procurar imagens com um tamanho de arquivo incomumente grande, pois isso pode indicar a presença de esteganografia.
- As organizações devem implementar a filtragem da Web para uma navegação mais segura e também devem se manter atualizadas com os patches de segurança mais recentes quando as atualizações estiverem disponíveis.
- As empresas devem usar tecnologias modernas de proteção de endpoints que vão além de verificações estáticas, assinaturas básicas e outros componentes desatualizados, pois códigos ocultos em imagens e outras formas de ofuscação têm maior probabilidade de serem detectados dinamicamente por um mecanismo comportamental. As empresas devem concentrar seus esforços de detecção diretamente nos terminais onde a criptografia e ofuscação são mais fáceis de detectar.
- As empresas também devem usar inteligência de ameaças de várias fontes para se manterem atualizadas com as tendências, incluindo ataques virtuais que afetam seu setor onde a esteganografia foi observada.
- O uso de uma solução antivírus abrangente ajudará a detectar, colocar em quarentena e a excluir códigos maliciosos de seus dispositivos. Os produtos antivírus modernos se atualizam automaticamente para fornecer proteção contra os vírus mais recentes e outros tipos de malware.
Produtos relacionados:
Leitura adicional: