miércoles, 23 de diciembre de 2015

Un luser en la NcN2K15 (II)

Cuando la esteganografía deja de ser "cool"

Segunda charla de la mañana, a cargo de David Sancho (@davidsancho66). Quien empezó por el principio: ¿qué es la esteganografía? Pues no es sino el arte de meter datos dentro de otros datos, siendo el método más conocido el de insertar datos dentro de una imagen digital aprovechándonos del LSB (Least Significant Bit, o "bit del extremo derecho")
¡Aaaahhh! ¿Y eso qué es?

Pues para entendernos, a ver si lo se explicar... Cada imagen está formada por enecientos cuadraditos de color (los píxeles, vamos), y cada color de esos cuadraditos está formado por la combinación de "los tres colores": rojo, azul y verde, expresados con el número 0-255R, 0-255G y 0-255B -mira aquí-) tal que el 255-255-255 (o #FFFFFF) corresponde al blanco "puro" y el 0-0-0 (#000000) al negro "total"... Estos valores, y sus intermedios, los "entiende" el ordenador; pero, nosotros, entre el 255-255-255 y el 255-255-254 no apreciamos diferencia, si bien hay una modificación de un bit... ¡donde se puede almacenar otra información! Y ese bit más otro bit más otro bit... puede llegar a sumar una cantidad más que suficiente para aportar "información extra".
¿Y esto no se puede detectar? Con las herramientas adecuadas, sí. David nos puso el ejemplo del histograma de las imágenes. Para ello, obviamente, necesitamos tener la foto original y comparar: la imagen original muestra un histograma con líneas continuas, mientras que la "tocada" muestra otro, parecido, pero con picos en lugar de líneas continuas... Esos picos representan info extra... ¡que puede ser malware!
Y esta "maldad" ¿quiénes o por qué? Pues pueden ser desde simplemente delincuentes informáticos (que no hackers) por el dinero hasta gobiernos (ejércitos, ciberejércitos) por el "control", pasando por "hacktivistas" por ¿ideales?(permíteme que lo dude...). Al final, no son ni los unos ni los otros, sino que terminan siendo todos juntos: nos puso el ejemplo del "hackeo" a los servidores de Sony hace un tiempo por ¿quién? para ¿qué?, de donde salieron direcciones de correo electrónico que fueron empleadas para realizar campañas de phising, números de tarjetas de crédito que se vendieron en el mercado negro...
Y unos poquitos ejemplos de "malware" que nos puso:
  • LURK dropper: malware que llama a más malware. Esta aplicación maliciosa se conectaba a varias páginas que descargaban un "cuadro blanco" cuyo código hexadecimal... ¿os suena?
  •  Stegoloader: igual que el anterior, pero descargando imágenes más atractivas en las que se esconden los datos de configuración del payload
  • Zeus VM (feb 2014)
  • FakeReg (Android): el malware se esconde encriptado ¡en el icono de acceso directo a la aplicación!
Otros "bichitos" esconden la comunicación con el C&C (Centro de mando y Control)
  • Morto (agosto 2011), troyano que "esconde" la comunicación a través de las consultas al DNS. Y lo que te dice es de dónde bajarte el siguiente paso para concluir la infección. El "malote" controla los DNS y puede cambiar a gusto (golpe de talón) la dirección IP objetivo.
  • SKBanker (marzo 2015). Va a determinadas páginas de joyerías. Y el malo lo que hace es poner comentarios a alguna foto, que suenan raro, y que una vez desencriptado el mensaje da una dirección IP, puerto y página html...
  • Janicab. Vídeo en youtube que no tiene nada ¿? salvo comentarios "raros" que cuando se van actualizando van cambiando la dirección de la fuente de infección
  • Hammertoss (julio 2015) Que crea usuarios "aleatorios" de twitter, y en función del día postean comentarios que... 
Y el último que nos comentó, usa también la esteganografía pero no en imágenes sino... ¡en el tráfico http!
  • VBKlip (enero 2014). Ataque bancario en el que el número de cuenta de la "mula" a la que hacer el pago para blanquear dinero está escondido (encriptado) en una página de "Error 404".
¿Moderadamente preocupados? Yo también, así que visto el día y la hora, voy a tomarme un algo para templar el cuerpo.
Y como no creo que publique más hasta dentro de unos días...

¡¡Feliz Navidad!!

No hay comentarios: