E se gli audio che ascoltiamo fossero malware?

La steganografia è una antica tecnica di codificazione dei messaggi che ha il preciso obiettivo di nascondere una comunicazione tra due interlocutori in piena vista. Generalmente, i messaggi nascosti sembrano essere (o fanno parte di) qualcos'altro: immagini, articoli, elenchi di shopping o un altro testo di copertura. Per esempio, il messaggio nascosto può essere un inchiostro invisibile tra le linee di una lettera privata. La tecnica – che ci ricorda sicuramente più scenari da guerra fredda – è adesso diventata il cavallo di Troia per un gruppo di criminal hacker.

Nel campo del software, la steganografia, detta anche stego, è usata per descrivere il processo di nascondere file o testo in un altro file, di diverso formato. Per esempio, nascondere del testo semplice all'interno del formato binario di un'immagine. Questo utilizzo della tecnica è rimasto molto popolare tra coloro che si dedicano allo sviluppo delle soluzioni di Cyber Crimine per più di un decennio. Gli autori di malware non usano la steganografia per violare o infettare i sistemi, ma piuttosto come metodo di trasferimento.

La steganografia consente ai file che nascondono codice dannoso di aggirare il software di sicurezza che elenca i formati di file non eseguibili (come i file multimediali). Tutti i casi precedenti in cui il malware utilizzava la steganografia ruotavano attorno all'uso di formati di file immagine, come PNG o JEPG. Secondo due differenti studi, condotti da un’università statunitense, i creatori di numerosi tipi di malware stanno sperimentando nell’utilizzo di file audio per nascondere all’interno codice dannoso (da Ransomware a Cryptomalware).

L’analisi

Le prime trace di questa nuova metodologia di attacco sono state intercettate lo scorso giugno. Un gruppo di ricercatori di cyber security l’hanno riscontrata durante l’attività di monitoraggio di un gruppo di criminal hacker russi (Waterbug o Turla) specializzati in cyber spionaggio. Questi attori utilizzavano normalissimi file audio per trasferire codice maligno dai propri server alle vittime di Malware già infettate. 

La seconda istanza è stata registrata in ottobre da un altro ricercatore, questa volta di un noto istituto universitario statunitense, con modalità simili a quelle incontrate per la prima volta in giugno. 

Ma se nel primo caso l’autore (o autori in questa occasione) che ha portato avanti questo attacco era parte di un’organizzazione già ben nota e altamente specializzata in cyber spionaggio, nel secondo la tecnica era stata utilizzata da un attore decisamente meno “skillato” per una semplice operazione di malware specializzato in crypto mining. Il ricercatore che ha analizzato il caso ha poi spiegato come questo particolare Criminal Hacker nascondeva le DLL all'interno dei file audio WAV. I malware già presenti sull'host infetto scaricavano e leggevano il file WAV, estraevano la DLL bit per bit e poi la eseguivano, installando un'applicazione di criptocurrency miner chiamata XMRrig (Questo tipo di infezione utilizza la macchina infetta per “minare” Bitcoin o simili senza che la vittima se ne accorga).

Tracce dell’infezione, sempre secondo quanto detto dal ricercatore, sono state trovate sia sul sistema Windows infetto che sul server a esso collegato.

La Steganografia che democratizza il Cyber crimine 

Il caso osservato era sicuramente il primo riscontro di utilizzo di stego per operazioni di diffusione di crypto mining malware – sia che tratti di file WAV, JPEG o PNG. Questo dimostra che gli autori di malware di cripto-mining stanno diventando sempre più sofisticati adattando le loro soluzioni a quelle osservate in altre operazioni. L’uso delle tecniche stego richiede una comprensione approfondita del formato del file di destinazione ed è generalmente utilizzato da attori di minacce sofisticate che vogliono rimanere inosservati per un lungo periodo di tempo. Lo sviluppo di una tecnica simile richiede tempo, ma l'atto di documentare e studiare la steganografia ha un effetto palla di neve che mercifica anche la tecnica per le operazioni malware meno qualificate. Ma il formato WAV non è l’unico che può essere abusato con le tecniche di Stego. Queste possono essere utilizzate con qualsiasi formato di file a condizione che l'aggressore aderisca alla struttura e ai vincoli, in modo che qualsiasi modifica eseguita sul file in questione non ne comprometta l'integrità.

In altre parole, difendersi dalla steganografia bloccando i formati di file vulnerabili non è la soluzione corretta, in quanto le aziende finirebbero per bloccare il download di molti formati popolari, come JPEG, PNG, BMP, WAV, GIF, WebP, TIFF e molti altri ancora, provocando il caos nelle reti interne e rendendo impossibile la navigazione “normale”.

Il modo corretto per affrontarla è non affrontarla affatto!

Poiché la stego è usata solo come metodo di trasferimento dati, le aziende dovrebbero concentrarsi sul rilevamento del punto di ingresso/infezione del malware che abusa del metodo, o l'esecuzione del codice non autorizzato generato dai file “stego-laced”. Come farlo? Attraverso servizi come il Vulnerability Assessment, che permette di venire a conoscenza dello stato dell’esposizione dei tuoi sistemi alle vulnerabilità.