Вадим Гребенников - Стеганография. История тайнописи

— позволить обойти проверку в «AntiAPT»-продуктах, поскольку последние не могут обрабатывать все графические файлы (их слишком много в корпоративных сетях, а алгоритмы анализа довольно дорогие).

Использование стеганографии сегодня — очень популярная идея среди авторов вредоносного и шпионского ПО. Его очень трудно обнаружить, поскольку они выглядят как обычные графические (и не только) файлы.

Все существующее ПО для исследования стеганографии по сути являются «PoC» (англ. Proof-of-Concept), и их логика не может быть реализована в промышленных средствах защиты из-за низкой скорости работы, не слишком высокого уровня исследования, и даже иногда — из-за ошибок в математике.

Как пример вредоносного ПО, которое использует стеганографию для сокрытия своей коммуникации, рассмотрим вредоносный загрузчик «Zero.T», обнаруженный «Лабораторией Касперского» в конце 2016 года. Не останавливаясь на попадании в систему и закреплении в ней, отметим, что «Zero.T» скачивает полезную нагрузку в виде «Bitmap» файлов:

— fsguyidll.bmp,

— fslapi.bmp,

— fslapi.dll.bmp.

Затем обрабатывает их особым образом, после чего получает вредоносные модули:

— fsguyidll.exe,

— fslapi. dll,

— fslapi.dll.bmp.

На первый взгляд эти 3 файла «BMP» оказались картинками, которые являлись заполненными контейнерами. В каждом из них несколько (алгоритм допускает вариативность) младших значащих бит были заменены на шпионскую нагрузку.

Существуют разные способы, как определить, является ли картинка заполненным контейнером или нет. Но самый простой из них — визуальная атака. Суть его заключается в формировании новых изображений на основе исходного, состоящих из НЗБ различных цветовых плоскостей.

После такой обработки на втором и третьем изображении будут заметны области с высокой энтропией (высокой плотностью данных) — это и есть внедренное сообщение. С одной стороны это просто, потому что аналитик (и даже простой пользователь!) может с легкостью увидеть внедренные данные. А с другой стороны сложно потому, что такой анализ довольно трудно автоматизировать.

К счастью, ученые уже давно разработали несколько методов выявления заполненных контейнеров, основанных на статистических характеристиках изображения. Но все они основываются на предположении, что внедренное сообщение имеет высокую энтропию. Чаще всего это действительно так: поскольку емкость контейнера ограничена, сообщение перед внедрением сжимается и/или шифруется, т. е. его энтропия повышается.

Однако вредоносный загрузчик «Zero.T» не сжимает свои модули перед внедрением. Вместо этого он увеличивает количество используемых НЗБ: 1,2 или 4. Так использование большего количества НЗБ приводит к появлению визуальных артефактов в изображении, заметных простому пользователю.

Итак, стеганология прочно заняла свою нишу в обеспечении информационной и кибербезопасности: она не заменяет, а дополняет криптологию. Сокрытие сообщения методами стеганографии значительно снижает вероятность обнаружения самого факта передачи сообщения. А если это сообщение к тому же зашифровано, то оно имеет еще один, дополнительный, уровень защиты.

Среди основных причин наблюдающегося всплеска интереса к стеганологии можно выделить принятые в ряде стран ограничения на использование сильной криптологии, а также проблему защиты авторских прав на художественные произведения, интеллектуальную собственность и т. д. в глобальных цифровых сетях (интернет).

В настоящее время в связи с бурным развитием вычислительной техники, сети Интернет и новых каналов передачи информации появились новые стеганографические методы, в основе которых лежат особенности представления информации в компьютерных файлах, вычислительных сетях и т. п.

Существует множество направлений современной стеганологии, таких как компьютерная стеганография, цифровая стеганография, сетевая стеганография, каждое со своими методами и алгоритмами. Каждое направление используется в зависимости от ситуации и имеющихся ресурсов.

Бабаш А., Шанкин Г. Зарождение криптографии. Материалы к лекции по теме «Криптография в древние времена». М., 2002.

Барабаш А. Cтеганография. Древняя тайнопись в цифровую эпоху // http://www.webcitation.org/66M340RTC .

Белкина Т. А. Аналитический обзор применения сетевой стеганографии для решения задач информационной безопасности. «Молодой ученый» № 11, 2018.

Бобылев П., Алябьев А. Защита цифровой информации методами стеганографии. Тамбов, 2005.

Быков С., Мотуз О. Основы стегоанализа. «Защита информации. Конфидент», № 3, 2000, с. 38–41

Горбовский А. Загадки древнейшей истории. М., 1971.

Зелинский Ф. Сказочная древность Эллады. М., 1993.

Зорин Е., Чичварин Н. Стеганография в САПР // http://studydoc.ru/doc/155375/steganografiya-v-sapr — blog-n.v.-chichvarin a — 2013.

Колобова А.К., Колобов Д.Г., Герасимов А.С. Стеганография от древности до наших дней // Безопасность информационных технологий. М., 2015.

Мелтон К., Алексеенко В. История оперативной техники спецслужб. М., 2016.

Петраков А. Элементы крипто— и стеганографических технологий в цифровом телевидении. «Электротехнические и информационные комплексы и системы» № 4, 2006.

Риксон Ф. Коды, шифры, сигналы и тайная передача информации. М., 2011.

Синельников А. Шифры и революционеры России // www.hrono.ru/ libris/lib_s/shifr00.html .

Фролов Г. Тайна тайнописи. М., 1992.

Грибунин В., Оков И., Туринцев И. Цифровая стеганография. М., 2002.

Шелков В. История «микроточки». «Специальная техника и связь» № 3, 2012.

Шульмин А., Крылова Е. Стеганография в современных кибератаках // https://securelist.ru/steganography-in-contemporary-cyberattacks/79090/ — 2017.

Документальные

Нераскрытые тайны: тайны шифра. Россия, 2014.

Художественные

Рандеву. США, 1935.

Гребенников Вадим Викторович родился 20 апреля 1960 года в Ужгороде, столице Закарпатья, которое до 1945 года называлось Подкарпатской Русью, а поэтически — Серебряной Землёй.

Имеет полное высшее образование, закончил в 1982 году Ленинградский электротехнический институт связи имени профессора М.А. Бонч-Бруевича (ЛЭИС, ныне — СПбГУТ — Санкт-Петербургский Государственный университет телекоммуникаций) по специальности «радиотехника» с квалификацией радиоинженера.

Женился в ноябре 1984 года, имеет 3-х детей, 2-х внучек и внука. Полковник, ветеран и пенсионер. Живёт в Ужгороде.

В феврале 1983-го начал работать на должности электромеханика в отделении правительственной связи (далее — ПС) Управления КГБ УССР по Закарпатской области, а в 1986-м стал офицером и начал прохождение военной службы в том же подразделении на должности инженера отделения ПС. В 1987-м был переведён на должность инженера группы ПС Мукачевского горотдела УКГБ.