Salut !
Depuis 2008, il y a dans Infomars un sujet sur la stéganographie, cette technique pour dissimuler des données dans d'autres données. Ça fait longtemps et, malheureusement, les logiciels qui y sont décrits ne sont majoritairement plus maintenus. Certains d'entre nous cependant utilisent encore Steghide [1] qui fonctionne sous Linux et sous Windows 32bits.
Pour Debian et les distributions dérivées ..
sudo apt-get install steghide
Pour Arch et les distributions dérivées ..
sudo pacman -S steghide
Pour Fedora ..
sudo yum install steghide
.
''nIQnutn'' aborde le sujet de l'art de dissimuler un message dans un contexte Debian. A Steghide, il ajoute Stegnow, Outguess et la possibilité basique qu'offre l'utilisation de ''cat'' et ''unzip''.
C'est une manière encore peu habituelle de chiffrer ses messages. Elle devrait donner du fil à retordre aux espions professionnels. Et ça peut même être amusant.
…. …. …. ….
…. …. …. ….
La stéganographie numérique est le plus souvent utilisée pour cacher du texte mais peut aussi servir à camoufler des éléments d'un logiciel malveillant comme le font des variantes de ZeuS, Vawtrak, Alureon, Lurk etc [2].
Il est possible d'aller plus loin et de cacher l'injecteur (dropper), dans une image par exemple.
L'injecteur est la partie d'un code malveillant conçue pour ''installer'' le malware proprement dit dans le système ciblé. Généralement c'est un ensemble élaboré de manière à éviter la détection par les antivirus. Pour compliquer la tâche de celui-ci l'injecteur peut être seul et télécharger le malware une fois activé.
« Récemment, nous avons rencontré un malware qui traversé Internet déguisé en image de femme. Le malware utilise plusieurs couches de dissimulation pour cacher sa charge utile, y compris la stéganographie. La stéganographie est la pratique de dissimuler un message, une image ou un fichier au sein d'un autre message, image ou fichier. La stéganographie peut être utilisée dans des situations où le cryptage pourrait attirer une attention non désirée. Un trafic crypté à partir d'une source inhabituelle va attirer l'attention non désirée. La stéganographie permet à des ''charges malveillantes'' de se cacher. Elle permet également à l'attaquant de contourner les dispositifs de sécurité. Dans notre échantillon de malware, la stéganographie est utilisée pour déchiffrer et exécuter un deuxième injecteur, qui à son tour installe un rootkit dans l'espace utilisateur pour masquer davantage ses intentions. Le rootkit ajoute une autre couche de dissimulation par l'installation d'une porte dérobée DarkComet, en utilisant le chiffrement RC4 pour crypter ses paramètres de configuration et envoyer des données à son serveur de commande et de contrôle » [3].
Stegosploit, a été présenté par Saumil Shah fin mai 2015 lors de la conférence Hack in the Box d'Amsterdam.
« Stegosploit est le résultat d'un code d'exploitation malveillant caché dans des pixels de l'image qui le porte. Cependant, l'image est un conteneur multi-format, qui contient également le code nécessaire pour décoder les pixels stéganographiques codés afin d'exécuter l'exploit. Un simple fichier peut être présenté comme un fichier HTML parfaitement valable, exécuté comme un fichier Javascript parfaitement valide, et affiché comme une image parfaitement valable, tout en même temps. »
La librairie IMAJS, développée par Saumil Shah en 2014, combine deux codes pour image et du JavaScript. Le tout est caché dans un fichier JPG ou PNG au sein des pixels de l'image qui paraît normale à première vue.
« Chargée dans une page web à l'aide de la balise <script> , l'image est interprétée comme du code JavaScript, mais si elle chargée à l'aide de la balise « <img> », l'image sera interprétée comme étant une image valide » [4].
Il s'agit donc d'un ''drive by download'' sophistiqué.
Stagosploit n'est qu'un PoC mais cette technique pourrait être utilisée massivement pour infester des ordinateurs.
Attention aux images que vous recevez et à celle des sites que vous visitez !
@+
[1] La stéganographie, ou l’art du camouflage (freetux .. 22 février 2015)
[2] Les merveilles (et horreurs) de la Stéganographie numérique (Steve .. Emsisoft .. 20 novembre 2014)
[3] Reversing Multilayer .NET Malware (Dave McDaniel & Jaeson Schultz .. Talos Group .. 18 novembre 2014)
[4] Retour sur l'édition 2014 de la Hack.lu (Mark Schloesser .. xmco .. 05 novembre 2014)