• Veille
Publié le 6 août 2021

La stéganographie, un vecteur d’attaque secret

L'histoire de la stéganographie

Le mot stéganographie trouve son origine dans le mot grec "steganos", qui signifie secret ou caché, et "graphie", qui signifie écriture ou dessin. La stéganographie utilise des techniques d'écriture cachée pour transmettre des informations secrètement.

Si la terminologie a été introduite pour la première fois en 1499, le concept est encore plus ancien. Les Romains étaient connus pour tatouer un message sur le cuir chevelu d'un esclave et l'envoyer en mission dès que ses cheveux repoussaient. Le destinataire rasait à nouveau la tête de l'esclave et lisait le message. Un exemple un peu moins macabre de stéganographie est celui de De Vinci, qui intégrait régulièrement un message secret dans ses peintures.

La stéganographie dans l’ère numérique

La stéganographie d'images numériques a vu le jour en 1985 avec l'arrivée des ordinateurs personnels. Depuis lors, les attaquants ont reconnu la possibilité d'utiliser l'ancienne technique de la stéganographie pour mener des activités malveillantes. La première utilisation connue de la stéganographie d'images dans une cyberattaque a eu lieu en 2011 avec le malware Duqu, où des données ont été chiffrées et intégrées dans un simple fichier JPEG dans le but de recueillir des informations sur le système d'une victime.

En 2014, le cheval de Troie bancaire Zeus a utilisé la stéganographie d'image pour cacher les commandes qu'il envoyait aux systèmes infectés, également, le ransomware Lurk a fourni une URL chiffrée cachée dans un fichier image BMP blanc, qui téléchargeait une deuxième charge utile une fois déchiffré.

Figure 1 : Image utilisée par Zeus comme appât pour récupérer son fichier de configuration

Plus récemment, la stéganographie d'images a été utilisée par la campagne Stegano pour cacher du code malveillant dans des images de bannières publicitaires apparaissant sur des sites Web légitimes. Ce dernier dissimule des parties de son code malveillant dans des paramètres contrôlant la transparence des pixels utilisés pour afficher les bannières publicitaires.

Figure 2 : Un exemple de publicité malveillante lors de la campagne Stegano

Analyse d’une attaque stéganographique avec le malware LokiBot

La nature de l’attaque LokiBot est simplement un email avec une photo en pièce jointe. Le mail faisait référence à une commande fournisseur avec en pièce jointe le détail de la commande. Dès son ouverture, le document affichera immédiatement une feuille de calcul Microsoft Excel, qui exécutera à son tour le code macro VBS intégré dans cette dernière.

Figure 3 : Processus d’infection LokiBot

Le fichier .jpg s'ouvre, déverrouillant les données dont LokiBot a besoin lors de sa mise en œuvre. Le logiciel malveillant place l'image et le fichier .exe dans un répertoire qu'il crée, ainsi qu'un fichier script Visual Basic qui exécute le fichier LokiBot. Le script utilise un algorithme de déchiffrement pour extraire le code chiffré de l'image, permettant à l'interpréteur du fichier VBScript d'exécuter le malware.

Figure 4 : L’image en pièce jointe lors de l’attaque LokiBot

Prévenir les attaques stéganographique

Les techniques de stéganographie apportent souvent les modifications les plus infimes aux fichiers d'image, ce qui leur permet d'échapper aux outils anti-malware standards, qui ne sont pas conçus pour détecter ce type de malware. Selon l’éditeur anti-virus McAfee, "la stéganographie dans les cyberattaques est facile à mettre en œuvre et très difficile à détecter, de sorte que les cybercriminels se tournent vers cette technique."

Les chercheurs en sécurité de Kaspersky Lab partagent également cet avis : "La plupart des solutions modernes de lutte contre les logiciels malveillants n'offrent que peu, voire pas, de protection contre la stéganographie. Par conséquent, tout 'support' tel qu'une image numérique ou un fichier vidéo qui peut être utilisés pour dissimuler des données volées, ou des communications entre un programme malveillant et un serveur de commande et de contrôle, constitue une menace potentielle."

Les programmes actuels de détection de la stéganographie sont des preuves de concept et sont connus pour leur lenteur et leurs taux de détection relativement faibles, ce qui les rend inadaptés aux outils de sécurité commerciaux actuellement sur le marché.

La meilleure des solutions pour l’instant reste le fait d’être vigilant et de ne pas ouvrir les pièces jointes provenant d’adresses email inconnues.

Article rédigé par
EvaBssi Team