Todo empezó con un tirano encarcelado, un corte de pelo y un sirviente tatuado. Al menos, así es como lo cuenta Heródoto.
A menudo citado como el primer ejemplo de esteganografía —la técnica de ocultar un mensaje dentro de otro mensaje—, un rey exiliado llamado Histieo quería iniciar una revuelta contra un rival. Su solución consistió en afeitar y tatuar un mensaje en la cabeza de un sirviente. Cuando el pelo volvió a crecer, el mensaje oculto pudo transmitirse fácilmente a través del territorio enemigo.
Histieo llevó a cabo el primer ataque esteganográfico con éxito. Utilizó datos ocultos a plena vista para perjudicar a un enemigo. Siempre me ha gustado esta historia. Demuestra cómo un método sencillo para ocultar datos puede tener consecuencias desastrosas; en este caso, una revuelta devastadora.
Los ataques modernos basados en la esteganografía suelen ocultar malware en archivos de imagen inofensivos, creando un eslabón fundamental en la cadena de infección del autor de la amenaza, de forma muy similar a como el mensaje oculto de Histieo fue el primer eslabón de su cadena de ataque.
La esteganografía también se utiliza para extraer datos de los equipos de las víctimas. Por ejemplo, el atacante necesita enviar datos a su base de operaciones tras acceder a la red de una empresa. El malware basado en la esteganografía permite alcanzar este objetivo.
¿Es muy difícil ocultar malware en imágenes? Como prueba de concepto, estaría bien intentarlo y grabar un vídeo en el que muestre mi proceso de ataque mediante imágenes esteganográficas. ¡Por suerte, no hace falta tatuarse el cuero cabelludo!
¿Es fácil crear malware basado en la esteganografía de imágenes?
Estos ataques pueden parecer sofisticados, pero el software facilita enormemente la incrustación de datos en imágenes. Existen programas de esteganografía gratuitos y de fácil uso, como 1-2 Steganography, OpenStego y QuickStego, que se pueden conseguir fácilmente.
Con estas herramientas, se puede crear y extraer malware en pocos minutos con unas pocas líneas de código. El código que se muestra a continuación ilustra cómo utilicé la biblioteca de Python «judyb» para ocultar y revelar datos en imágenes.
Con un sencillo módulo de Python, tú también puedes ocultar información en imágenes y enviarla a donde quieras. La esteganografía es divertida. Puedes usarla para enviar mensajes secretos a tus amigos, pero los atacantes pueden propagar malware e infectar redes.
¿Por qué es eficiente?
Es fácil ocultar malware en imágenes, pero difícil de detectar.
Los atacantes incrustan datos a nivel de bits o píxeles, por lo que resulta casi imposible detectar una carga maliciosa con la mayoría de las herramientas de análisis antimalware. Las imágenes maliciosas eluden fácilmente la mayoría de los métodos de detección antimalware en tiempo real.
Cómo prevenir los ataques de tipo «stenographic»: desarmado y reconstrucción profundos del contenido
Dado que los métodos basados en la detección son ineficaces, necesitamos otra forma de detectar código malicioso oculto en las imágenes.
Afortunadamente, existe un eficaz método denominado CDR (Content Disarm and Reconstruction) que permite descomponer los archivos para eliminar los datos dañinos. También conocido como «limpieza de datos», el CDR es una solución de seguridad de «confianza cero» que parte de la base de que todos los archivos son maliciosos. Descompone los archivos y elimina el contenido ejecutable y los elementos que no se ajustan a los estándares de tipo de archivo. Por último, reconstruye los archivos garantizando su plena funcionalidad con un contenido seguro.
Una versión más potente de CDR, denominada Deep CDR™ Technology, analiza las imágenes en mayor profundidad, examinando perfiles, metadatos y píxeles en busca de contenido perjudicial.
La tecnología Deep CDR™ utiliza la desinfección recursiva para neutralizar las amenazas. Si el atacante ha incrustado esta imagen en un PDF, la tecnología Deep CDR™ analiza y desinfecta todos los objetos del PDF.
Además, elimina cualquier metadato estructurado, lo que contribuye a la privacidad y la seguridad. Los atacantes pueden ocultar troyanos en los metadatos. Al eliminar los metadatos del archivo de imagen se evita este vector de ataque.
A nivel de píxeles, nuestro programa elimina los datos no utilizados que podrían contener parte de la carga útil. A continuación, añade ruido aleatorio a esos píxeles, lo que impide que la carga útil ejecute el código malicioso.
También podemos optimizar los datos de los mapas de bits. El algoritmo de compresión elimina los datos no utilizados en los que se ocultan los datos maliciosos sin afectar a la calidad de las imágenes.
Como puedes ver en el ejemplo siguiente, la calidad de la imagen sigue siendo la misma.
Si te gusta aprender sobre esteganografía y te interesan otros temas relacionados con la ciberseguridad, suscríbete a nuestra lista de correo.
¿Te preocupa la ciberseguridad de tu organización? ¡Ponte en contacto hoy mismo con un experto OPSWAT !
