Steganographie-Attacken Datenschmuggel in unauffälligen Dateien

Von Dipl. Betriebswirt Otto Geißler Lesedauer: 4 min |

Anbieter zum Thema

Manche Hacker verstecken gestohlene Daten oder schädlichen Code in Bildern, Audiodateien, Videos oder anderen unauffällig erscheinenden Medien. Die meisten solcher Steganographie-Angriffe bleiben daher leider unentdeckt. Jedoch gibt es Maßnahmen zur Prävention.

Bei einem Steganographie-Angriff mittels Bilddatei verstecken Cyberkriminelle Malware-Code in Bildern, ohne dass er optisch auffällig ist.
Bei einem Steganographie-Angriff mittels Bilddatei verstecken Cyberkriminelle Malware-Code in Bildern, ohne dass er optisch auffällig ist.
(Bild: freshidea - stock.adobe.com)

Während Unternehmen zunehmend in Tools der IT-Security investieren und sie idealerweise stetig optimieren, diversifizieren und verfeinern Hacker ebenso kontinuierlich ihre Angriffsstrategien, um der Entdeckung zu entgehen. Dafür nutzen sie jetzt Steganografie als Angriffsvektor, um schädliche JavaScripts und Malware beispielsweise in Bildern zu verstecken. Klickt das Opfer dann auf das infizierte Bild, wird ein automatischer Prozess ausgelöst, der die Schädigung des Zielsystems zur Folge hat.

Was nach neuesten Technologien klingt, ist im Grunde eine alte Kunst. Schon vor Jahrhunderten verbargen Künstler besondere Informationen in ihren Bildern und Gemälden. Die meisten Künstler verwendeten diese Technik, um ihre Unterschriften oder andere versteckte Botschaften zu verstecken. Sogar Könige sandten auf diese Weise geheime Nachrichten an andere Würdenträger oder an ihre Soldaten in Kriegsgebieten.

Klassische Varianten von Steganographie-Angriffen

Je nach Angriffsziele verwenden Hacker verschiedene Arten von Steganographie-Varianten:

  • Steganographie von Bildern: Bei einem Image-Steganographie-Angriff werden infizierte Daten in Bildern versteckt. Dabei nutzen Hacker die große Anzahl von Bits oder Pixel aus und ersetzen sie teilweise durch Malware-Codes, die letztlich visuell nicht auffällig sind. Für solche Angriffe werden verschiedene Taktiken eingesetzt. Dazu gehört das Einfügen von niederwertigsten Bits, Maskierung, Filterung, Codierung sowie Methoden der Kosinustransformation.
  • Steganographie von Texten: Hierbei handelt es sich um das Verbergen von Informationen (Malware-Codes) in Textdateien. Hacker ändern dafür das Textformat in Dateien, indem sie beispielsweise Wörter ändern oder zufällige Zeichen oder Sätze einfügen.
  • Steganographie von Audio: Bei dieser Variante verstecken Hacker Malware bzw. schädlichen Code in WAV-Audiodateien, die eine Loader-Komponente enthalten, um sie dann von den Opfern ausführen zu lassen.
  • Steganographie von Videos: Video-Steganographie-Bedrohungen sind eine Kombination aus text- und bildbasierten Steganographie-Angriffen. Dafür betten Hacker eine große Menge schädlicher Daten in den sich bewegenden Strom von Bildern und Audiodateien ein.

Wie Steganographie funktioniert

Im Vergleich der einzelnen Varianten liefern Bilder ideale Voraussetzungen, um bösartigen Code und Informationen zu verbergen. Bilder wecken gewöhnlich kein Misstrauen, und die meisten Sicherheitstools kennzeichnen solche Dateitypen nicht. Beim Öffnen wird jedoch ein verstecktes Skript ausgelöst, das irgendwo auf dem Computer einen Downloader installiert, der wiederum eine Verbindung zum Internet herstellt. Auf diese Weise erhält der Hacker alles, was er braucht, um seine Ziele zu erreichen.

Für den Einsatz von Steganographie bieten sich mehrere Möglichkeiten an. Eine der ältesten Techniken ist die LSB-Substitutionsmethode (Least Significant Bit). Damit lassen sich ungefähr 15 Prozent eines Bildes manipulieren, indem das unwichtigste Bit jedes Bytes geändert wird. Natürlich ändert sich die dargestellte Farbe des Pixels, aber die Manipulation liegt für das menschliche Auge außerhalb des Wahrnehmbarkeitsbereichs.

Eine Variation dieser Methode ist die sogenannte Diskrete Kosinustransformation (DCT). Für JPEG-Bilder ermöglicht sie das Senden von Daten durch Ändern der LSBs der DCT-Koeffizienten eines Bildes. Ferner existiert auch die Variante der palettenbasierten Bild-Steganographie, bei der Daten in das LSB der Bildpalette codiert werden. Beide Methoden können allerdings nur eher kleinere Volumina geheimer Daten transportieren.

Steganographie entwickelt sich schnell weiter

Eine deutlich gefährlichere Methode nennt sich Bit-Plane Complexity Segmentation (BPCS). Damit sind Hacker in der Lage, etwa 50 Prozent eines Bildes zu verändern, ohne dass die User einen Unterschied wahrnehmen können. Der Trick besteht darin, ein Bild in einen informativen Bereich und einen „rauschähnlichen“ Bereich zu unterteilen und dann die geheimen Daten in den Rauschblöcken zu verstecken.

In letzter Zeit stellten IT-Experten fest, dass allmählich die Sound-basierte Steganographie populärer wird, da reine Audio-Social-Media-Apps weiter auf dem Vormarsch sind. In Zukunft könnten wir auch auf Augmented Reality (AR) und Virtual Reality (VR) basierende Steganographie sehen. Denn Menschen werden möglicherweise nicht die einzigen sein, die Opfer solcher Manipulationen sind.

Anspruchsvollere Ansätze könnten mittlerweile auch künstliche Intelligenz (KI) umfassen, um steganografische Bilder mithilfe von kontradiktorischem Training zu erstellen. In dieser Hinsicht kann das Steganogan-Paket (Python) hilfreich sein, die Funktionsweise zu verstehen. Dafür kommt ein trainiertes Modell zum Einsatz, das es erlaubt, Informationen anstelle klassischer steganographischer Techniken zu verbergen. Auf diese Weise gibt es möglicherweise keine erkennbaren Artefakte mehr für die Steganographie-Analyse…

Steganographie-Angriffe verhindern

Ein Schutz gegen solche Bedrohungen gestaltet sich gegenwärtig gleich aus mehreren Gründen als sehr problematisch. Nicht zuletzt, weil Bedrohungsakteure immer innovativer und kreativer werden. Hinzu kommt, dass es für den normalen User so gut wie unmöglich ist, Bedrohungen dieser Art festzustellen und viele Betreiber von Websites nicht über die Ressourcen für dedizierte Sicherheitsteams verfügen. Darüber hinaus ist Steganographie ein Albtraum für viele herkömmliche Anti-Malware-Tools. Einige Minderungsmaßnahmen umfassen:

  • Schulungs- und Sensibilisierungsprogramme für IT-Security.
  • Downloads von Software und andere Anwendungen aus unbekannten Quellen vermeiden.
  • Niemals verdächtige Text-, Audio- und Bilddateien aus unbekannten Quellen anklicken, öffnen oder herunterladen.
  • Verteilungsverfahren für Software implementieren, um böswillige Insider zu identifizieren.
  • Webfilter für sichereres Surfen installieren und die Sicherheitspatches auf dem neuesten Stand halten.
  • Netzwerke segmentieren. Im Falle eines erfolgreichen steganografischen Angriffs können Virtualisierungs-Architekturen bzw. eine ordnungsgemäße Segmentierung bei der Eindämmung von Ausbrüchen helfen.
  • Einen guten Schutz bieten auch verhaltensbasierte Sicherheitstools, die ungewöhnliche Aktivitäten in einem Netzwerk erkennen. Solche Tools sind als eigenständige UEBA-Produkte erhältlich. In IT-Security-Tools wie beispielsweise Endpoint Detection and Response (EDR) tauchen zunehmend Funktionen der Verhaltenserkennung auf.

(ID:49051030)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung