Esteganografía

Juan Vera del Campo - juan.vera@professor.universidadviu.com

Hoy hablamos de...

  1. Esteganografía
  2. Ejemplos
  3. Esteganografía para atacantes
  4. Ataques y detección
  5. Referencias

Esteganografía

Esteganografía

Ocultación de información dentro de otra información más común, un documento que no sea secreto, o un documento que no levante sospechas

Usos

  • Confidencialidad: enviar información en un canal oculto
  • Plausible deniability: ¡no estoy haciendo nada malo!
  • Copyright: marcar un texto como de mi propiedad
  • DLP / DRM: detectar quién ha distribuido un documento
  • Atacantes: ¡llevar el malware sin que sea detectado!

Técnicas de ocultación de información

center

"A Comparative Analysis of Information Hiding Techniques for Copyright Protection of Text Documents",Milad Taleby Ahvanooey,1 Qianmu Li, Hiuk Jae Shim, and Yanyan Huang. Security and Communication Networks / 2018

Proceso

Propiedades

(Deseables o no)

  • Que no pueda ser detectado
  • Que no pueda quitarse con facilidad
  • Que pueda ser verificable: criptografía
  • Coste computacional para poner / quitar

Ejemplos

Watermarking y fingerprinting

Imágenes

  • Pixeles "muertos"
  • Bit menos significativo: en pixeles o en sus transformadas
  • Paleta de color
  • Campos EXIF
  • ...

https://www.mobilefish.com/services/steganography/steganography.php

Look Scanned

https://www.bbc.com/future/article/20170607-why-printers-add-secret-tracking-dots

Textos

  • A la vista
  • Resiste impresiones y algunas manipulaciones
  • Linguístico: cambiar palabras, frases...
  • Estructural: espacios, marcas, tipos de letra...

Shaadow.io

center

https://www.elladodelmal.com/2022/04/como-poner-una-marca-oculta-shaadow-los.html

Text steganography: kerning spaces

center

Text steganography: rejillas

center

Esteganografía para atacantes

Usos

  • Evasión de antivirus: Ocultar el malware dentro de archivos/protocolos aparentemente legitimos
  • Evasión de cortafuegos: comunicaciones prohibidas a través de protocolos permitidos
  • Ocultar la exfiltración de información a los sistemas de seguridad

Network steganography

  • Protocolo IPv4: StegTunnel (campo identificación datagramas IP)
  • Protocolo TCP: Covert_tcp21, StegTunnel (campo número de secuencia)
  • Protocolo ICMP: troyano Loki (ICMP echo Reply/ICMP echo request),
    IcmpShell, Pingtunnel...
  • Protocolo IPv6: VoodooNet, IPV6teal...
  • Protocolo DNS: dnssteganography, Netcross, denise, dns2tcp, dnscapy,
    dnscat, heyoka, iodine, psudp, squeeza, TUNS33, dnscat2, dnsExfiltrator...
  • Protocolo HTTP: HttpTunnel, Firepass (transferencia de datos
    TCP/UDP en mensajes HTTP POST), HCovert, Cctt, http cookies,
    Mística...
  • Capa de aplicación: MailTunnel, MsnShell, StegTorrent, g00gle Crewbots.
  • SCAPY (https://scapy.net/): manipulación de paquetes

Evasión de antivirus y seguridad perimetral usando esteganografía. Alfonoso Muñoz, 2021
Exfiltration Over Other Network Medium

DNS tunneling

center

https://help.zscaler.com/zia/about-dns-tunnel-detection
https://www.youtube.com/watch?v=YgZJ5z7Hmhw
https://github.com/IncideDigital/Mistica

Malware en archivos

center

https://blog.reversinglabs.com/blog/malware-in-images

Polyglots

Con esta técnica, un archivo puede ser una cosa u otra según un contexto

What are polyglots and how to use them as a pentester
https://github.com/mindcrypt/polyglot
Polyglots PoC apasamar INCIDE

Qbot durante 2022:

<embed src="data:image/svg+xml;
base64,SDKSJdisdskskjskdsk432432...."
...

Viejo bug en Explorer: algunas imágenes podían visualizarse o ejecutarse:

<img src="cat.png" />

<script src="cat.png"></script>

STEGOSPLOIT
Attackers use SVG files to smuggle QBot malware onto Windows systems
Smuggling HTML using SVG

center

https://ia802801.us.archive.org/6/items/ftireportintojeffbezosphonehack/FTI-Report-into-Jeff-Bezos-Phone-Hack_text.pdf

Ataques y detección

Ataques

  • Activos: el atacante quiere quitar la marca
  • Pasivos: el atacante quiere detectar la marca
  • Colisiones: el atacante usa dos documentos marcados para obtener uno sin marca
  • Simulación: el atacante genera un documento con una marca falsa

Estimación de la marca

center

https://ai.googleblog.com/2017/08/making-visible-watermarks-more-effective.html

Entropía

  • Medida de la aleatoriedad de un archivo
  • Texto normal: 0.6 bits por bit
  • Texto cifrado: 1 bit por bit
  • Si encuentras más entropía de la esperada ¡cifrado!
  • Aplicable a muchos canales de comunicación: DNS, chat, imágenes, email...
  • No aplicable a canales que ya tengan entropía máxima por estar comprimidos: vídeo, imágenes...

center

Ejemplo del archivo cifrado del primer ejercicio. Fíjate: al principio y al final no tiene entropía, y esas son las partes "que estaban a cero"

Administradores web

Referencias

Referencias

¡Gracias!

DLP: Data Leak Protection DRM: Digital Right Management

¿Es posible detectarlo? Después de cambios en la imagen, ¿podemos seguir pasando el mensaje? Si la imagen se imprime, ¿el mensaje oculto se mantiene?

Image: https://static.bhphotovideo.com/explora/sites/default/files/proof.jpg

¿Se mantiene la marca después de convertir la imagen? Images: https://blog.fastforwardlabs.com/images/2017/06/stego_images.jpg

Los de shadow.io dicen que pueden mantener la marca incluso después de imprimir el texto a papel