Steganografie – Schadcode in Bildern

Steganografie

Steganografie ist eine Anwendung der Kryptografie. Während bei der Kryptografie Daten so verschlüsselt werden, dass man sie ohne Schlüssel nicht lesen kann, werden bei der Steganografie geheime Daten in Bildern, Audiodateien, Texten oder sonstigen digitalen Objekten versteckt. In einer Bild-Datei (JPG, PNG, TIFF, BMP) können so zum Beispiel sehr viele Daten versteckt werden, ohne dass man dies dem Bild ansieht. Dem Betrachter erscheint das Bild vollkommen in Ordnung. Mitwissende des modifizierten Bildes (bzw. des Steganogramms) nutzen wiederum ihr Wissen darüber, wie die Daten versteckt wurden, und können diese wieder auslesen. So funktioniert Steganografie.

Unsichtbare Informationen – auch Schadcode

Per Steganografie lassen sich also viele Informationen in digitalen Objekten verstecken. In der Szene der IT-Kriminellen ist Steganografie mittlerweile ein übliches Werkzeug. Sie verstecken in Bildern oder Audiodateien entwendete Daten, die so unbemerkt verschickt werden können.

Doch auch Schadcode wird mittlerweile in Bildern versteckt. Bereits Ende 2016 haben Forscher des Antivirusherstellers Eset ein Exploit-Kit entdeckt, dass sich per Steganografie über schädliche Werbeanzeigen auf seriösen News-Webseiten verbreitete. Der Schadcode wurde mit steganografischen Methoden in Bildern versteckt. Die präparierten Werbebanner prüften den Rechner auf Flash-Lücken und schleusten dann verschiedene Malware-Arten ein. Darunter Backdoors, Banking-Malware und Spyware.

Immer mehr Malware-Programmierer verwenden steganografische Techniken. Wenn ein Schadcode vollkommen unbemerkt innerhalb einer Bild-Datei auf den Computer gelangt, muss dieser nur noch aus der Datei ausgelesen und ausgeführt werden. Der nötige Programmcode, um die Daten auszulesen ist vergleichsweise kompakt und wahrscheinlich gleichermaßen unauffällig. Die Steganografie ist also eine bequeme Methode, den eigentlichen Schadcode zu verstecken und zu transportieren.

Schadcode nur schwer zu entdecken

Die Forscher von Kaspersky demonstrierten im August 2017, wie effektiv die Methode ist. Die nachfolgenden zwei Bilder sehen für unser Auge absolut identisch aus. Das linke und rechte Bild haben sogar fast dieselbe Dateigröße. Doch im rechten Bild sind die ersten zehn Kapitel der Novelle „Lolita“ versteckt. Der vollständige Text!

Das zeigt, wie effektiv diese Methode ist. Es braucht nur das geeignete Programm, um den versteckten Text wieder auszulesen. Kein Wunder, dass diese Masche bereits in zahlreichen Trojanern zum Einsatz gekommen ist (Nettraveler, Triton, XMRig miner, Zberp und ZeusVM).

Das Verstecken von Schadcodes per Steganografie erschwert die Erkennung erheblich. Der Aufwand, jede Bild-, Audio- oder Textdatei zu untersuchen, wäre enorm. Kein Virenscanner kann so einfach erkennen, ob eine Datei manipuliert wurde – und welche Art von Manipulation vorgenommen wurde.

Liegt ein konkreter Verdacht vor, lässt sich die Manipulation nachweisen – aber es ist eine Illusion zu glauben, dass ein Virenscanner jedes Bild in einer E-Mail / Internetseite auf Verdacht hin prüfen kann…

Der Einsatz von steganografischen Techniken erfordert ein enormes Verständnis des Zielformats. Daher werden solche Techniken aktuell „nur“ von sehr erfahrenen IT-Kriminellen angewendet. Eine steigende Anzahl an HowTo-Publikationen zu diesem Thema, ermöglichen es jedoch selbst unerfahrenen Angreifern, diese Technik zu kopieren.

Gut möglich, dass uns der Begriff „Steganografie“ in den nächsten Jahren öfter beschäftigen wird.

Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant und IT Fachjournalist (Themen: IT-Sicherheit und Datenschutz). Felix Bauer ist seit 20 Jahren in der IT-Sicherheitsbranche tätig. Sein Hauptschwerpunkt liegt auf dem Thema „Virenschutz für Endanwender“. Felix Bauer ist OpenSource-Evangelist und besitzt den Master of Science in Security and Forensic Computing. Felix Bauer hat bereits an zahlreichen IT-Sicherheitskonferenzen uns sonstigen IT-Sicherheitstagungen teilgenommen und diverse professionelle Qualifikationen im Bereich der IT-Sicherheit.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.