Steganografie (auch Steganographie) ist eine Anwendung der Kryptografie. Während bei der Kryptografie Daten so verschlüsselt werden, dass sie ohne Schlüssel nicht gelesen werden können, werden bei der Steganografie geheime Daten in Bildern, Audiodateien, Texten oder anderen digitalen Objekten versteckt. So können beispielsweise in einer Bilddatei (JPG, PNG, TIFF, BMP) sehr viele Daten versteckt werden, ohne dass es dem Bild anzusehen ist. Dem Betrachter erscheint das Bild vollkommen in Ordnung. Mitwissende des modifizierten Bildes (bzw. des Steganogramms) nutzen wiederum ihr Wissen darüber, wie die Daten versteckt wurden, und können diese wieder auslesen.
Unsichtbare Informationen – auch Schadcode
Per Steganografie lassen sich also viele Informationen in digitalen Objekten verstecken. In der Szene der IT-Kriminellen ist Steganografie mittlerweile ein übliches Werkzeug. Sie verstecken gestohlene Daten in Bildern oder Audiodateien, die so unbemerkt verschickt werden können.
Doch auch Schadcode wird mittlerweile in Bildern versteckt. Bereits Ende 2016 haben Forscher des Antivirusherstellers Eset ein Exploit-Kit entdeckt, dass sich per Steganografie über schädliche Werbeanzeigen auf seriösen News-Webseiten verbreitete. Der Schadcode wurde mit steganografischen Methoden in Bildern versteckt. Die präparierten Werbebanner prüften den Rechner auf Flash-Schwachstellen und schleusten dann verschiedene Arten von Malware ein. Darunter Backdoors, Banking-Malware und Spyware.
Immer mehr Malware-Programmierer verwenden steganografische Techniken. Wenn ein Schadcode vollkommen unbemerkt innerhalb einer Bild-Datei auf den Computer gelangt, muss dieser nur noch aus der Datei ausgelesen und ausgeführt werden. Der nötige Programmcode, um die Daten auszulesen ist vergleichsweise kompakt und wahrscheinlich gleichermaßen unauffällig. Die Steganografie ist also eine bequeme Methode, den eigentlichen Schadcode zu verstecken und zu transportieren.
Schadcode nur schwer zu entdecken
Die Forscher von Kaspersky demonstrierten im August 2017, wie effektiv die Methode ist. Die nachfolgenden zwei Bilder sehen für unser Auge absolut identisch aus. Das linke und rechte Bild haben sogar fast dieselbe Dateigröße. Doch im rechten Bild sind die ersten zehn Kapitel der Novelle „Lolita“ versteckt. Der vollständige Text!
Das zeigt, wie effektiv diese Methode ist. Es braucht nur das geeignete Programm, um den versteckten Text wieder auszulesen. Kein Wunder, dass diese Masche bereits in zahlreichen Trojanern zum Einsatz gekommen ist (Nettraveler, Triton, XMRig miner, Zberp und ZeusVM).
Das Verstecken von Schadcodes per Steganografie erschwert die Erkennung erheblich. Der Aufwand, jede Bild-, Audio- oder Textdatei zu untersuchen, wäre enorm. Kein Virenscanner kann so einfach erkennen, ob eine Datei manipuliert wurde – und welche Art von Manipulation vorgenommen wurde.
Liegt ein konkreter Verdacht vor, lässt sich die Manipulation nachweisen – aber es ist eine Illusion zu glauben, dass ein Virenscanner jedes Bild in einer E-Mail / Internetseite auf Verdacht hin prüfen kann…
Es gibt zwar spezialisierte Steganalyse-Tools zur Erkennung von steganografisch manipulierten Dateien, diese arbeiten jedoch nicht wirklich zuverlässig. Diese Tools analysieren Dateien auf auffällige statistische Abweichungen, die auf eine steganografische Manipulation hindeuten könnten.
Der Einsatz von steganografischen Techniken erfordert ein enormes Verständnis des Zielformats. Daher werden solche Techniken aktuell „nur“ von sehr erfahrenen IT-Kriminellen angewendet. Eine steigende Anzahl an HowTo-Publikationen zu diesem Thema, ermöglichen es jedoch selbst unerfahrenen Angreifern, diese Technik zu kopieren.
Gut möglich, dass uns der Begriff „Steganografie“ in den nächsten Jahren öfter beschäftigen wird.