What is steganography and how is it used in cyberattacks?

Steganography hides data inside ordinary files by making tiny changes to their contents. In image-based attacks, an attacker modifies pixel color values by amounts too small for the human eye to detect, encoding malware payloads, stolen data, or command-and-control instructions within the image. The modified image opens and displays normally, which lets it bypass email filters and content scanners that only check file headers. Security firm BlackBerry reported that steganography-based attacks increased by 600% between 2017 and 2022, with most using PNG and JPEG files as carriers.

Can antivirus software detect malware hidden in images?

Standard antivirus tools scan for known malware signatures and suspicious code patterns. They do not typically analyze pixel-level data for hidden payloads, which makes steganography an effective evasion technique. The hidden data only becomes dangerous when extracted and executed by separate malware or a browser vulnerability. Some advanced endpoint detection tools can flag unusual image file behavior, like an image file that also parses as valid JavaScript, but detection rates remain low. The most effective defense is restricting where images can be opened and keeping browsers patched against known rendering vulnerabilities.

Атаки через зображення (Stegosploit)

That image file might be carrying more than pixels.

Що ви дізнаєтесь у Атаки через зображення (Stegosploit)

Пояснити, як стеганографія вбудовує шкідливий код у файли зображень без видимої зміни зображення
Визначати підозрілі файли зображень, перевіряючи метадані файлів, несподівані розміри файлів та невідповідні виміри
Відрізняти класичну піксельну стеганографію від атак поліглотних файлів та ін'єкції в EXIF-метадані
Застосовувати безпечні процедури обробки зображень, включаючи уникнення прямого рендерингу недовірених файлів зображень у браузері
Виконувати правильні кроки реагування на інцидент, якщо підозріле зображення вже було відкрито на Вашому пристрої

Атаки через зображення (Stegosploit) — Кроки навчання

Творчий ранок

Зараз ранок вівторка, і ви переглядаєте портфоліо дизайнерів-фрілансерів, які хочуть попрацювати над майбутньою кампанією.
Портфоліо підрядника

Ви отримуєте електронний лист від когось, який стверджує, що він графічний дизайнер-фрілансер і зацікавлений у співпраці з вашим агентством. Електронний лист містить вбудоване зображення, яке демонструє їхню роботу в портфоліо.
Прихована загроза

Електронний лист виглядає професійно, а вбудоване зображення — це красива пейзажна фотографія. Але в той момент, коли ваш поштовий клієнт відтворює це зображення, щось спрацьовує у фоновому режимі. Сучасні браузери та клієнти електронної пошти використовують API HTML5 Canvas для відображення зображень. Зловмисники використовують це, приховуючи зловмисний код JavaScript у піксельних даних зображення – метод під назвою Stegosploit .
Сповіщення безпеки

Ваше програмне забезпечення безпеки кінцевої точки виявляє підозрілу активність у момент рендерингу зображення. З’являється попередження про те, що вбудоване зображення містить шкідливий код. Програмне забезпечення безпеки намагається помістити загрозу в карантин, перш ніж вона зможе завдати будь-якої шкоди.
Дороге рішення

Незважаючи на антивірусне попередження, Аліса переконує себе, що це, ймовірно, помилковий результат. Вона зайнята переглядом портфоліо до кінцевого терміну кампанії та не хоче витрачати час на те, що, на її думку, є нічим. Вона відхиляє сповіщення та повертається до перегляду електронного листа.
Щось не так

Через сорок п’ять хвилин скринька Аліси дзвонить автоматичним сповіщенням безпеки від системи моніторингу Pinnacle Creative. Хтось увійшов в обліковий запис її компанії з незнайомого місця. Відкинувши антивірусне попередження, вона дозволила виконати приховане корисне навантаження JavaScript і викрасти її облікові дані.
Усвідомлення помилки

Аліса з недовірою дивиться на сигнал безпеки. Це прекрасне зображення портфоліо насправді було зброєю — шкідливим кодом, захованим у тому, що виглядало як звичайне зображення. Відкинувши попередження антивірусу під час сканування, вона дозволила виконати корисне навантаження та вкрасти її облікові дані. На відміну від традиційного зловмисного програмного забезпечення, яке вимагає від вас завантажити та запустити файл, атаки Stegosploit запускаються просто під час перегляду зображення. Шкідливий код прихований у піксельних даних і виконується, коли браузер відтворює зображення.
Зображення зі зброєю

Давайте розглянемо вбудоване зображення, яке містило приховане шкідливе програмне забезпечення. Це стало причиною атаки, коли Аліса відкрила електронний лист.
Аналіз червоних прапорців електронної пошти

Озираючись на електронний лист, стає очевидним кілька попереджувальних знаків, які Аліса пропустила під час свого початкового перегляду.
Тіло електронної пошти

Сам вміст електронної пошти містить хитру тактику маніпулювання.

Що ви дізнаєтесь у Атаки через зображення (Stegosploit)

Атаки через зображення (Stegosploit) — Кроки навчання

Творчий ранок

Портфоліо підрядника

Прихована загроза

Сповіщення безпеки

Дороге рішення

Щось не так

Усвідомлення помилки

Зображення зі зброєю

Аналіз червоних прапорців електронної пошти

Тіло електронної пошти