Di dalam citra yang tampak paling tidak bersalah, pemandangan yang menakjubkan, atau meme yang lucu, sesuatu yang berbahaya bisa bersembunyi, menunggu momennya untuk menyerang.
Tidak ada nama file yang aneh. Tidak ada peringatan antivirus. Hanya gambaran yang tidak berbahaya, diam -diam menyembunyikan muatan yang dapat mencuri data, menjalankan malware, dan mengambil alih sistem Anda tanpa jejak.
Ini adalah Steganography, senjata rahasia penjahat dunia maya untuk menyembunyikan kode jahat di dalam file yang tampak tidak berbahaya. Dengan menanamkan data dalam gambar, penyerang menghindari deteksi, mengandalkan skrip atau proses terpisah untuk mengekstrak dan menjalankan muatan tersembunyi.
Mari kita hancurkan cara kerjanya, mengapa begitu berbahaya, dan yang paling penting, bagaimana menghentikannya sebelum terlambat.
Apa itu steganografi dalam cybersecurity?
Steganografi adalah praktik menyembunyikan data dalam file atau media lain. Tidak seperti enkripsi, yang mengacak data untuk membuatnya tidak dapat dibaca, steganografi menyamarkan kode jahat di dalam gambar, video, atau file audio yang tampak tidak berbahaya, membuatnya hampir tidak terlihat oleh alat keamanan tradisional.
Dalam serangan cyber, musuh menanamkan muatan ke dalam file gambar, yang kemudian diekstraksi dan dieksekusi pada sistem korban.
Mengapa Penjahat Cyber Menggunakan Steganografi:
- Penghindaran Alat Keamanan: Kode tersembunyi di dalam gambar melewati antivirus dan firewall.
- Tidak ada file yang mencurigakan: Penyerang tidak membutuhkan file yang dapat dieksekusi yang jelas.
- Tingkat deteksi rendah: Pemindaian keamanan tradisional jarang memeriksa gambar untuk malware.
- Pengiriman Payload Stealthy: Malware tetap tersembunyi sampai diekstraksi dan dieksekusi.
- Bypasses Filter Email: Gambar berbahaya tidak memicu deteksi phishing standar.
- Metode serangan serbaguna: Dapat digunakan dalam phishing, pengiriman malware, dan exfiltration data.
Bagaimana Xworm Menggunakan Steganografi untuk Menghindari Deteksi
Mari kita lihat kampanye malware yang dianalisis di dalam kotak pasir interaktif apa pun yang menampilkan persis bagaimana steganografi dapat digunakan dalam infeksi malware multi-tahap.
Lihat Sesi Analisis dengan XWorm
 |
| Kampanye Steganografi Dimulai dengan PDF phishing |
Langkah 1: Serangan dimulai dengan PDF phishing
Kami melihat di dalam sesi kotak pasir apa pun bahwa semuanya dimulai dengan lampiran PDF. Dokumen tersebut menyertakan tautan berbahaya yang menipu pengguna untuk mengunduh file .reg (file registri windows).
Jelajahi fitur canggih apa pun. Run untuk mengungkap ancaman tersembunyi, meningkatkan deteksi ancaman, dan secara proaktif mempertahankan bisnis Anda dari serangan canggih.
Coba apapun.run sekarang
Sekilas, ini mungkin tidak berbahaya. Tetapi membuka file memodifikasi registri sistem, menanam skrip tersembunyi yang dijalankan secara otomatis ketika komputer restart.
 |
| File .reg yang digunakan untuk memodifikasi Regis di dalam kotak pasir apa pun |
Langkah 2: Skrip registri menambahkan proses startup tersembunyi
Setelah file .reg dieksekusi, secara diam -diam menyuntikkan skrip ke kunci Registry Windows Autorun. Ini memastikan bahwa malware diluncurkan pada saat sistem reboot.
Pada tahap ini, belum ada malware yang sebenarnya telah diunduh, hanya skrip tidak aktif yang menunggu aktivasi. Inilah yang membuat serangan begitu licik.
 |
| Perubahan Nilai Autorun dalam Registry yang terdeteksi oleh any.run |
Langkah 3: Eksekusi PowerShell
Setelah reboot sistem, skrip registri memicu PowerShell, yang mengunduh file VBS dari server jarak jauh.
Di dalam kotak pasir any.run, proses ini terlihat di sisi kanan layar. Mengklik pada PowerShell.exe mengungkapkan nama file yang sedang diunduh.
 |
| PowerShell.exe mengunduh file VBS di dalam lingkungan yang aman |
Pada tahap ini, tidak ada malware yang jelas, hanya skrip yang mengambil apa yang tampaknya menjadi file yang tidak berbahaya. Namun, ancaman nyata disembunyikan dalam langkah berikutnya, di mana steganografi digunakan untuk menyembunyikan muatan di dalam gambar.
Langkah 4: Aktivasi Steganografi
Alih -alih mengunduh file yang dapat dieksekusi, skrip VBS mengambil file gambar. Tapi tersembunyi di dalam gambar itu adalah muatan DLL jahat.
 |
| Gambar dengan muatan DLL berbahaya yang terdeteksi oleh any.run |
Menggunakan offset 000D3D80 Di dalam any.run, kita dapat menentukan di mana DLL jahat tertanam dalam file gambar.
 |
| Analisis statis gambar jahat |
Setelah analisis statis, gambar tampak sah, tetapi ketika kita memeriksa tab hex dan menggulir ke bawah, kita menemukan bendera>.
Langsung setelah bendera ini, kita melihat “TVQ,” tanda tangan MZ yang dikodekan Base64 dari file yang dapat dieksekusi. Ini menegaskan bahwa steganografi digunakan untuk menyembunyikan muatan XWorm di dalam gambar, memungkinkannya untuk memotong deteksi keamanan sampai diekstraksi dan dieksekusi.
Langkah 5: Xworm digunakan di dalam sistem
Langkah terakhir dari serangan itu melibatkan pelaksanaan DLL yang diekstraksi, yang menyuntikkan Xworm ke dalam proses sistem AddInprocess32.
 |
| Xworm malware terdeteksi oleh any.run Sandbox |
Pada titik ini, penyerang mendapatkan akses jarak jauh ke mesin yang terinfeksi, memungkinkan mereka untuk:
- Mencuri data sensitif
- Jalankan perintah dari jarak jauh
- Menggunakan malware tambahan
- Gunakan sistem yang terinfeksi sebagai titik peluncuran untuk serangan lebih lanjut
Mengungkap ancaman tersembunyi sebelum mereka menyerang
Serangan berbasis steganografi adalah tantangan yang berkembang bagi bisnis, karena alat keamanan tradisional sering mengabaikan malware tersembunyi di dalam gambar dan file media lainnya. Ini memungkinkan penjahat cyber untuk mendeteksi bypass, mencuri data, dan menyusup ke sistem tanpa memicu alarm.
Dengan alat -alat seperti apa pun. Kotak pasir interaktif Run, tim keamanan dapat secara visual melacak setiap tahap serangan, mengungkap muatan tersembunyi, dan menganalisis file yang mencurigakan secara real time:
- Hemat waktu dengan analisis ancaman cepat: Dapatkan hasil awal hanya dalam 10 detik dan ramping proses penilaian ancaman Anda.
- Berkolaborasi secara efisien: Bagikan hasil secara instan dan bekerja bersama dalam sesi real-time untuk mempercepat tugas tim.
- Sederhanakan investigasi: Memanfaatkan antarmuka intuitif apa pun dan penandaan waktu nyata untuk mengurangi beban kerja dan meningkatkan produktivitas.
- Mendapatkan wawasan yang dapat ditindaklanjuti: Leverage yang diekstraksi IOC dan pemetaan MITER ATT & CK untuk triase, respons, dan perburuan ancaman yang efektif.
- Tingkatkan respons: Meningkatkan transfer data dari Soc Tier 1 ke Soc Tier 2 dengan laporan komprehensif untuk eskalasi yang lebih efektif.
Secara proaktif memantau aktivitas yang mencurigakan dan menguji ancaman potensial di lingkungan yang terkontrol adalah kunci untuk memperkuat postur keamanan siber Anda.
Cobalah fitur canggih apa saja dan dapatkan visibilitas yang lebih dalam menjadi ancaman, dan buat keputusan yang lebih cepat dan berbasis data untuk melindungi bisnis Anda.
