Steganographie: Wie Geheimcode in Mediendateien zur Gefahr für die IT Security wird
von Tina Siering
Was ist Steganographie und wie funktioniert sie heute?
Steganographie ist ein aus dem Griechischen entlehnter Begriff, der sich aus den beiden Worten στεγανός für “verborgen” und γραφία für “Schrift” zusammensetzt. Steganographie beschreibt den Prozess der verborgenen Nachrichtenübermittlung in einem Trägermedium. Bei dem Vorgehen werden Informationen so versteckt, dass Dritte bei einer Betrachtung des Trägermediums keinen Verdacht schöpfen und die reine Existenz der geheimen Informationen nicht wahrnehmen können.
Der Einsatz von Steganographie lässt sich bis in die Antike zurückverfolgen. Aus dem alten Rom ist ein recht aufwändiges Vorgehen bekannt. Um Informationen sicher von einem Ort zum nächsten zu transportieren, setzte man damals auf das „Transportmittel“ Sklaven. Diesem wurde zunächst der Kopf geschoren und anschließend eine Nachricht auf die Kopfhaut eintätowiert. Nachdem die Haare wieder vollständig nachgewachsen waren, schickte man den Sklaven zum Empfänger der Nachricht. Es folgte ein erneutes Scheren des Kopfes – und die Nachricht wurde sichtbar.
Ein weiteres Beispiel aus weit entfernter Vergangenheit ist der Einsatz von Wachstafeln, einem in der Antike üblichen Medium für den Schriftverkehr. Die Wachstafeln enthalten üblicherweise Botschaften, die in das Wachs geritzt wurden. Um die geheimen Botschaften zu verschleiern, wurden diese in das Holz darunter geritzt, anschließend mit Wachs übergossen und dieses dann mit einer unverfänglichen Nachricht versehen.
Bilder eignen sich ebenfalls hervorragend, um geheime Nachrichten zu verstecken. Das wusste auch Leonardo da Vinci, der in vielen seiner Werke Botschaften hinterließ. Oder denken Sie an ältere Kriminalfilme, in denen Spione geheime Informationen auf Mikrofilmen aus den Hauptquartieren der Gegner schmuggelten. Bei Mikrofilmen werden Texte auf die Größe eines Schreibmaschinenpunktes verkleinert – unlesbar für das menschliche Auge und extrem einfach zu verstecken.
In der heutigen Zeit ist die Steganographie digitalisiert und dadurch besonders gefährlich. Denn hinter jedem Bild, jedem Audiofile oder in Videoformaten kann sich mittlerweile bösartiger Code verstecken. Die digitale Steganographie wird in fünf unterschiedliche Typen aufgeteilt:
- Bildsteganographie – Verborgene Daten in Bilddateien
- Videosteganographie – Verborgene Daten in Videodateien
- Textsteganographie – Codierte Informationen in Textdateien
- Audiosteganographie – In Audiosignalen eingebettete, geheime Nachrichten
- Netzwerksteganographie – In Netzwerkprotokollen eingebettete Informationen
Die heute verbreitetste Form der Steganographie ist das Verstecken von Schadsoftware in Bilddateien. Hier wird es den Hackern besonders einfach gemacht, denn mit dem Tool „Steghide“ steht eine besonders einfach zugängliche Möglichkeit zur Verfügung, Schadsoftware zu verstecken. Per Mausklick lassen sich im Tool Datenpakete in den Metadaten der Bilddatei oder in den Pixeln verstecken. Mit bloßem Auge sind die versteckten Informationen nicht zu erkennen. Das vorbereitete Bild wird dann als Anhang einer Mail verschickt, auf Websites platziert oder als Meme auf Twitter verteilt. Das große Sicherheitsproblem: Tools für Steganographie sind leicht erhältlich – und gleichzeitig erkennen die allermeisten Sicherheits-Tools die manipulierten Daten nicht.
Wie nutzen Hacker Steganographie für ihre Zwecke?
Auch wenn sich prinzipiell jedes digitale Objekt (wie z.B. ein Textdokument, ein Lizenzschlüssel oder eine Dateierweiterung) zum Verstecken von Informationen eignet, setzen Cyberangreifer vorrangig auf Foto-, Video- und Audiodateien. Diese Mediendateien sind größer als beispielsweise Textdokumente, sodass sich die zusätzlich eingebaute Malware viel unauffälliger verstecken lässt. Extrem beliebt sind Bilder – in Form von Memes, die in den sozialen Netzwerken geteilt werden oder auch in Form pornographischer Inhalte. Technisch betrachtet sind digitale Bilder nichts weiter als eine Ansammlung von Pixeln, in denen die Informationen zur angezeigten Farbe hinterlegt sind. Im gängigen RGB-Format belegt die Farbbeschreibung pro Pixel bis zu 24 Bit an Speicherplatz. Nutzen Hacker ein oder zwei Bit pro Pixel für das Hinterlegen von Schadcode, ist diese Ergänzung nicht mehr als solche zu erkennen. Skaliert man nun die Anzahl von Pixeln pro Bild hoch, ergibt sich eine umfangreiche Möglichkeit, Daten in einem Bild zu verstecken. Was sich technisch anspruchsvoll liest, bedarf in der Realität aber kein professionelles Fachwissen. Zwar gibt es hoch spezialisierte Steganographen, die Skripts schreiben – aber in der Regel genügt ein kurzer Blick ins Darknet, wo entsprechend vorgefertigte Tools und Code ganz einfach zum Download bereitstehen.
Wie genau wird Steganographie eingesetzt – und zu welchem Zweck? Besonders beliebt ist das Verfahren im Bereich der Cyberspionage. Ist es einem Angreifer gelungen, in ein Netzwerk einzudringen und dort sensible Daten abzugreifen, müssen diese unerkannt „nach draußen“ gesendet werden – in der Regel an sogenannte Command and Control (C2) Server, über die die Angreifer die Kampagne steuern. Während Sicherheitstools und IT-Security-Mitarbeiter den ausgehenden Datenverkehr weitestgehend im Blick haben, bleiben unverdächtige, ins Netz hochgeladene Mediendateien häufig unter dem Security-Radar.
Auch direkte Angriffe auf den Rechner eines Opfers lassen sich über in Mediendateien versteckte Informationen ausführen. In einer groß angelegten Kampagne setzten Cyberangreifer auf Memes, die via Twitter verteilt wurden. Die Memes, unverfängliche, amüsante und eigentlich harmlose Bilder, dienten der Kommunikation mit bereits im Vorfeld eingeschleuster Malware. Die Malware öffnete den korrumpierten Tweet, holte sich die versteckten Anweisungen und das kriminelle Werk begann. Screenshots vom Desktop, Daten kopieren, Informationen zu laufenden Prozessen auf dem Rechner sammeln – die vermeintlich lustigen Bilder führten zu ernsthaften Schäden auf den betroffenen Systemen.
Das schwierige Erkennen von stereografischem Code
Die Toolkits für Angriffe mittels Steganographie sind günstig, leicht verfügbar und lassen sich nicht als typische Hacker-Werkzeuge klassifizieren. Kein Wunder, dass manipulierte Mediendateien einen extrem attraktiven Einfallsvektor für Cyberkriminelle darstellen, der schwer nur zu entdecken ist. Selbst kontinuierlich aktualisierte Virenscanner scheitern regelmäßig an der Erkennung präparierter Mediendateien. Die Umgehung dieser Protection-Tools funktioniert deshalb so gut, weil die meisten Malwareschutz-Produkte mithilfe von Signaturen nach kriminellen Inhalten suchen. Und nicht (wie bei der Steganographie) nach einer harmlosen Datei, in die die Konfigurationsdatei (z.B. für Bot-Befehle) eingebettet wird.
Der beste Praxistipp zum Schutz vor steganographischen Bedrohungen ist die altbekannte Weisheit: „Zuerst denken, dann klicken!“ Dateien aus unbekannten Quellen oder von nicht vertrauenswürdigen Absendern sollten prinzipiell nie geöffnet, sondern umgehend gelöscht werden. Das gilt nicht nur für E-Mails, sondern auch für alle anderen Kanäle, über die sich Nachrichten übertragen lassen. Soziale Netzwerke und kompromittierte Webseiten stellen neben der E-Mail die beliebtesten Verbreitungswege für Steganographie dar.
Folgende Maßnahmen zum Schutz vor steganographischen Bedrohungen helfen:
- Nutzen Sie nur Anwendungen, die vertrauenswürdige Signaturen von vertrauenswürdigen Anbietern zulassen.
- Verfügen Sie über ein zentrales Repository mit vertrauenswürdigen Unternehmensanwendungen und verschärfen Sie die Software-Verteilungsmechanismen. Schützen Sie sich so vor riskanter Software aus zweifelhaften Quellen.
- Setzen Sie auf Netzwerksegmentierung, um im Falle eines erfolgreichen Angriffs die Attacke eindämmen zu können. Eine kontinuierliche Überwachung des Netzwerkdatenverkehrs erleichtert dabei ein schnelles Isolieren.
- Konfigurieren Sie Ihren Malware-Schutz dementsprechend so, dass auch Binder erkannt werden, die in steganographischen Bildern enthalten sein können. Binder sind Softwaretools, die in der Lage sind, zwei verschiedene .exe-Dateien zu einer Datei zusammenzuführen und so schadhafte Dateien in einer seriösen zu platzieren.
Endpoint Protection-Lösungen können darüber hinaus bei der Identifizierung steganographischer Software unterstützen. Ist Malware jedoch einmal erfolgreich im Netzwerk platziert (und aktiviert), hilft eine “Managed Detection and Response”-Lösung (MDR) beim frühzeitigen Detektieren maliziöser C2-Kommunikation, wie beispielsweise der Active Cyber Defense (ACD)-Service von Allgeier secion. ACD scannt das Unternehmensnetzwerk proaktiv und kontinuierlich auf Anomalien. Im Fall einer Kompromittierung der Systeme informiert das ACD-Team von Allgeier secion die IT-Teams seiner Kunden bei Handlungsbedarf, um Schäden durch die Angreifer abzuwenden. Der 24/7 Service hilft so als Frühwarnsystem, das Unternehmensnetzwerk aktiv, vorausschauend und permanent abzusichern.
Fazit
Seit der Antike wird Steganographie für die Übertragung geheimer Informationen eingesetzt. Auch moderne Hacker haben die diskrete Form der Datenübertragung für sich entdeckt – und setzen preiswerte, leicht verfügbare Tools ein, um Mediendateien aller Art mit Schadcode auszustatten.
"Die eine" wirksame Waffe im Kampf gegen die unglaublich schwer zu entdeckenden Schadcodes gibt es nicht. Jedoch stellt eine proaktive Angriffserkennung in Form eines Managed Services durch spezialisierte IT Security-Teams eine wichtige Unterstützung dar, sollte es einmal zur erfolgreicher Malware-Infiltration bedingt durch Steganographie kommen. Als Alternative zu internen SIEM/SOC-Lösungen bietet Allgeier secion mit dem Active Cyber Defense-Service (ACD) einen zuverlässigen “Managed Detection and Response”- Service für die Überwachung von Unternehmensnetzwerken – rund um die Uhr und an 365 Tagen im Jahr, mit dem nach Kommunikations Artefakten (Beacons) geguckt wird - und nicht nicht basierend auf Signaturen.