Steganografi – tillvägagångssätt för att dölja information – har existerat i århundraden. På senare tid har det associerats med olika typer av cyberattacker. Läs vidare för att lära dig mer om exempel på steganografi, steganografityper samt steganografi och cybersäkerhet.
Vad är steganografi?
Steganografi innebär tillvägagångssätt för att dölja information i andra meddelanden eller fysiska föremål för att undgå detektion. Steganografi kan användas för att dölja praktiskt taget alla typer av digitalt innehåll, inklusive text-, bild-, video- eller ljudinnehåll. Denna dolda data extraheras sedan på sin destination.
Innehåll som döljs genom steganografi krypteras ibland innan det göms i ett annat filformat. Om det inte är krypterat kan det vara behandlat på något annat sätt för att vara svårare att detektera.
Då det är en typ av hemlig kommunikation jämförs steganografi ibland med kryptografi. De två är dock inte detsamma eftersom steganografi inte involverar kryptering av data när informationen sänds, eller användning av en nyckel för att avkoda informationen vid mottagande.
Termen ’steganografi’ kommer från grekiskans ’steganos’ (vilket betyder gömd eller täckt) och ’graphein’ (vilket betyder skrift). Steganografi har använts i olika former i tusentals år för att kommunicera privat. I det antika Grekland gick en metod ut på att snida meddelanden i trä som sedan doldes med ett lager vax. Romarna använde olika varianter av osynligt bläck som kunde dechiffreras med värme eller ljus.
Steganografi är relevant när det kommer till cybersäkerhet eftersom ligor som använder sig av utpressningsprogram och andra hotaktörer ofta döljer information när de gör en riktad attack. Till exempel kan de gömma data, dölja skadliga verktyg eller skicka instruktioner till kommando- och kontrollservrar. De kan placera all denna information i bild-, video-, ljud- eller textfiler som verkar ofarliga.
Hur steganografi fungerar
Steganografi går ut på att dölja information på ett sätt som inte väcker misstankar. En av de mest utbredda teknikerna kallas ’minst signifikant bit’-steganografi (LSB). Detta innebär att den hemliga informationen bäddas in i de minst betydelsefulla delarna av en mediefil. Exempel:
- I en bildfil består varje pixel av tre bytes av data som motsvarar färgerna röd, grön och blå. Vissa bildformat har en extra fjärde byte vilken tilldelas transparens eller ’alpha’.
- LSB-steganografi ändrar den sista av var och en av dessa byte för att dölja en bit data. Så för att dölja en megabyte data med denna metod behöver du en bildfil på åtta megabyte.
- Att modifiera den sista biten av pixelvärdet resulterar inte i en visuellt märkbar förändring av bilden, vilket innebär att de som tittar på originalet och den steganografiskt modifierade bilden inte kommer att kunna se någon skillnad.
Samma metod kan tillämpas på andra digitala medier som ljud och video, där data döljs i de delar av filen som leder till minsta förändring av det hörbara eller visuella resultatet.
En annan steganografiteknik går ut på att byta ut ord eller bokstäver. Avsändaren döljer texten till ett hemligt meddelande genom att separera och placera ut orden med specifika intervall i en mycket större text. Denna metod må vara enkel att använda, men den kan också få texten att låta eller se konstig ut eftersom de hemliga orden kanske inte passar logiskt i meningarna de placerats i.
Andra steganografimetoder inkluderar att dölja en hel partition på en hårddisk eller att bädda in data i sidhuvudet på filer och nätverkspaket. Effektiviteten hos dessa metoder beror på hur mycket data de kan dölja och hur lätta de är att upptäcka.
Steganografityper
Ur ett digitalt perspektiv finns det fem huvudtyper av steganografi. Dessa är:
- Textsteganografi
- Bildsteganografi
- Videosteganografi
- Ljudsteganografi
- Nätverkssteganografi
Låt oss titta närmare på dessa:
Textsteganografi
Textsteganografi innebär att dölja information i textfiler. Detta inbegriper att ändra format på en befintlig text, att ändra ord i en text, att använda sammanhangsoberoende grammatisk form för att generera läsbara texter och att generera slumpmässiga teckensekvenser.
Bildsteganografi
Detta innebär att gömma information i bildfiler. I digital steganografi används ofta bilder för att dölja information eftersom det finns ett stort antal element i den digitala representationen av en bild, och mängder av sätt att dölja information i bilder.
Ljudsteganografi
Ljudsteganografi innebär att hemliga meddelanden bäddas in i en ljudsignal vilket ändrar den binära sekvensen för motsvarande ljudfil. Det är en svårare process att dölja hemliga meddelanden i digitalt ljud än i andra medier.
Videosteganografi
När data döljs i digitala videoformat. Inom videosteganografi kan stora mängder data döljas i en rörlig ström av bilder och ljud. Exempel på två typer av videosteganografi:
- Bädda in data i okomprimerade videofiler i råformat och sedan komprimera dem
- Bädda in data direkt i den komprimerade dataströmmen
Nätverkssteganografi
Nätverkssteganografi, även benämnt protokollsteganografi, är tekniken som går ut på att bädda in information i kontrollprotokoll för nätverk som används vid dataöverföring – till exempel TCP, UDP och ICMP.
Steganografi vs kryptografi
Steganografi och kryptografi har samma mål – att skydda ett meddelande eller information från tredje part – men använder olika tekniker för att uppnå målet. Kryptografi ändrar informationen till chiffertext som endast kan förstås med en avkrypteringsnyckel. Det betyder att om någon fångar upp det krypterade meddelandet kan de lätt se att någon form av kryptering har tillämpats. Inom steganografi ändras inte informationens format, utan istället döljs meddelandets existens.
Steganografi och NFT:er
Viss överlappning förekommer mellan steganografi och NFT:er (non-fungible tokens). Steganografi är en teknik som går ut på att dölja filer i andra filer, oavsett om det gäller en bild, en text, en video eller ett annat filformat.
När du skapar en NFT har du vanligtvis möjlighet att lägga till ytterligare innehåll som bara kan visas av NFT-ägaren. Sådant innehåll kan vara vad som helst, inklusive innehåll med hög kvalitet, meddelanden, videoinnehåll, åtkomst till hemliga gemenskaper, rabattkoder och till och med smarta kontrakt eller ”skatter”.
Allteftersom konstvärlden fortsätter att utvecklas, förändras även NFT-teknikerna. Att designa NFT:er med privata metadata är något vi kan förvänta oss att se mer av i framtiden, och tillämpat på olika sätt – som i spel, betalväggar, evenemangsbiljetter med mera.
Användningsområden för steganografi
På senare tid har steganografi främst använts på datorer med digitala data som bärare och nätverk som leveranskanaler med hög hastighet. Användningsområden för steganografi inkluderar:
- Undvika censur: Att skicka nyhetsinformation utan att den censureras och utan rädsla för att meddelandena ska kunna spåras tillbaka till avsändaren.
- Ge digital vattenstämpel: Att skapa osynliga vattenstämplar som inte förvränger bilden och som kan användas för att ta reda på om bilden har använts utan tillstånd.
- Skydda information: Att skicka mycket känslig information till andra parter utan att väcka misstankar. Används av polis och myndigheter.
Hur steganografi används för attacker
Ur ett cybersäkerhetsperspektiv kan hotaktörer använda steganografi för att bädda in skadliga data i till synes ofarliga filer. För att använda steganografi rätt krävs avsevärda ansträngningar och nyanser, och ofta ligger avancerade hotaktörer med specifika planerade mål bakom. Nedan följer några exempel på hur attacker kan genomföras med steganografi:
Dölja skadliga nyttolaster i digitala mediefiler
Digitala bilder kan vara primära mål eftersom de innehåller många överflödiga data som kan manipuleras utan att märkbart ändra hur bilden ser ut. Eftersom användningen av bilder är så utbredd i det digitala landskapet, är det sällan bildfiler väcker misstankar om skadliga avsikter. Videor, dokument, ljudfiler och till och med e-postsignaturer utgör också potentiella alternativa medier där skadliga nyttolaster kan spridas med steganografi.
Utpressningsprogram och dataexfiltrering
Ligor som använder sig av utpressningsprogram har också lärt sig att steganografi kan hjälpa dem att utföra sina attacker. Steganografi kan också användas i dataexfiltreringsstadiet av en cyberattack. Genom att dölja känsliga data i legitim kommunikation ger steganografi möjlighet till extrahering av data utan detektion. Då många hotaktörer nu ser dataexfiltrering som det primära målet för cyberattacker, blir säkerhetsspecialister bättre på att implementera åtgärder för att detektera när data extraheras – ofta genom att övervaka krypterad nätverkstrafik.
Gömma kommandon på webbsidor
Hotaktörer kan gömma kommandon för sina implantat på webbsidor med blanksteg och i felsökningsloggar som publiceras på forum, ladda upp stulna data i bilder och upprätthålla varaktighet genom att lagra krypterad kod på specifika platser.
”Malvertising” – annonser med skadligt innehåll
Hotaktörer som genomför ”malvertising”-kampanjer kan dra fördel av steganografi. De kan bädda in skadlig kod i banderollannonser online vilka extraherar skadlig kod och omdirigerar användare till en landningssida med trojaner när de laddas.
Exempel på steganografi som används i cyberattacker
E-handelsstöld
År 2020 publicerade den nederländska e-handelssäkerhetsplattformen Sansec forskning som visade att hotaktörer hade bäddat in skadliga stöldprogram i Scalable Vector Graphics (SVG) på e-handelsbetalningssidor. Attackerna involverade en dold skadlig nyttolast inuti SVG-bilder och en avkodare gömd separat på andra delar av webbsidorna.
Användare som angav sina uppgifter på de komprometterade betalningssidorna märkte inget ovanligt eftersom bilderna var enkla logotyper från välkända företag. Eftersom nyttolasten fanns inom vad som verkade vara korrekt användning av SVG-elementsyntax, detekterade standardsäkerhetsskannrar som sökte efter ogiltig syntax inte den skadliga aktiviteten.
SolarWinds
År 2020 lyckades en grupp hackare även gömma skadlig programvara i en legitim mjukvaruuppdatering från SolarWinds, som är tillverkare av en populär plattform för hantering av IT-infrastruktur. Hackarna gjorde med framgång intrång hos Microsoft, Intel och Cisco samt hos ett flertal amerikanska statliga myndigheter. Vid detta tillfälle använde de steganografi för att maskera informationen de stal som till synes godartade XML-filer använda i HTTP-svarstexter från kontrollservrar. Kommandodata i dessa filer var förklädda som olika textrader.
Industriföretag
Återigen år 2020 drabbades företag i Storbritannien, Tyskland, Italien och Japan av en kampanj med steganografiska dokument. Hackare undvek detektion genom att använda en steganografisk bild som laddats upp på välrenommerade bildplattformar som Imgur, för att infektera ett Excel-dokument. Mimikatz, ett skadligt program som stjäl Windows-lösenord, laddades ned via ett hemligt skript som ingick i bilden.
Hur man detekterar steganografi
Metoden att detektera steganografi kallas ”steganalys”. Det finns flera verktyg som kan detektera dolda data, inklusive StegExpose och StegAlyze. Analytiker kan använda andra allmänna analysverktyg som hexvisare för att detektera avvikelser i filer.
Att hitta filer som har modifierats med steganografi är dock en utmaning – inte minst eftersom det är praktiskt taget omöjligt att veta var man ska leta efter dolda data i de miljontals bilder som laddas upp på sociala medier varje dag.
Förhindrande av steganografibaserade attacker
Att använda steganografi i en attack är relativt enkelt. Att skydda sig mot det är mycket svårare, eftersom hotaktörer ständigt blir mer innovativa och kreativa. Följande är exempel på begränsningsåtgärder:
- Utbildning inom cybersäkerhet kan öka medvetenheten om riskerna med att ladda ned media från opålitliga källor. Utbildning kan också lära människor att upptäcka nätfiske via e-postmeddelanden som innehåller skadliga filer, och att vara medvetna om förekomsten av steganografi som ett cyberhot. På en grundläggande nivå bör individer lära sig att vara uppmärksamma på bildfiler som är ovanligt stora, eftersom det kan indikera närvaron av steganografi.
- Organisationer bör implementera webbfiltrering för säkrare surfning och bör också hålla sig informerade om de senaste säkerhetspatcharna när uppdateringar är tillgängliga.
- Företag bör använda moderna tekniker för slutpunktsskydd som täcker mer än statiska kontroller, grundläggande signaturer och andra föråldrade komponenter, då det är mer troligt att kod som har gömts i bilder och andra oklarheter detekteras dynamiskt av en beteendemotor. Företag bör fokusera sina detekteringsinsatser direkt på de slutpunkter där kryptering och oklarheter är lättare att detektera.
- Företag bör också använda hotanalys från flera källor för att känna till de senaste trenderna, däribland cyberattacker där steganografi har ingått som har påverkat deras bransch.
- Genom att använda en omfattande antiviruslösning kan du detektera skadlig kod, sätta den i karantän och ta bort den från dina enheter. Moderna antivirusprodukter uppdaterar sig själva automatiskt för att ge skydd mot de senaste virusen och andra typer av skadliga program.
Relaterade produkter:
Läs mer: