Steganography เป็นเทคนิคการซ่อนข้อมูลลับไว้ในสื่อที่ไม่ได้เป็นความลับ โดยมีจุดประสงค์เพื่ออำพรางให้ตรวจสอบความผิดปกติได้ยาก ตัวอย่างการใช้งานเทคนิคนี้ เช่น ซ่อนข้อมูลลับไว้ในไฟล์รูปภาพ ซึ่งผู้ที่เปิดดูไฟล์นี้ก็จะเห็นเป็นรูปภาพปกติ แต่ผู้ที่รู้ว่าภาพนี้มีข้อมูลซ่อนอยู่ก็สามารถใช้วิธีเฉพาะในการสกัดข้อมูลที่ซ่อนไว้ออกมาได้ ซึ่งที่ผ่านมาก็ได้มีผู้พัฒนามัลแวร์หลายรายนำเทคนิคนี้มาใช้เป็นส่วนประกอบการโจมตีอยู่เรื่อย ๆ
ทีมนักวิจัยจาก BlackBerry Cylance ได้เผยแพร่รายงานการโจมตีของกลุ่มแฮกเกอร์ที่ใช้เทคนิค steganography เพื่อฝังมัลแวร์ไว้ในไฟล์ WAV ซึ่งเป็นไฟล์เสียงที่สามารถเปิดฟังได้โดยใช้โปรแกรมทั่วไป โดยทางนักวิจัยพบว่ากลุ่มแฮกเกอร์ได้ใช้เทคนิคนี้เพื่อแพร่กระจายมัลแวร์ XMRig ซึ่งเป็นมัลแวร์ขุดเงินดิจิทัลสกุล Monero รวมถึงใช้เพื่ออำพรางโค้ดสำหรับโจมตีระบบ สาเหตุที่ทางนักวิจัยสามารถตรวจพบการโจมตีด้วยเทคนิคเหล่านี้ได้เนื่องจากพบไฟล์ที่ใช้สกัดข้อมูลออกมาจากไฟล์ WAV ดังกล่าว
จากรายงาน นักวิจัยพบว่าผู้พัฒนามัลแวร์ใช้ 2 อัลกอริทึมหลักๆ ในการอำพรางและสกัดข้อมูลออกมาจากไฟล์ WAV โดยอัลกอริทึมแรกคือการใช้ Least Significant Bit (LSB) ซึ่งเป็นการซ่อนข้อมูลไว้ใน bit สุดท้ายของแต่ละ block ซึ่งการสกัดข้อมูลออกมาก็จะใช้วิธีวนลูปอ่านค่ามาทีละ block แล้วนำ bit สุดท้ายมาต่อกัน จนสุดท้ายได้เป็นไฟล์มัลแวร์ออกมา ส่วนอัลกอริทึมที่สองจะใช้ฟังก์ชัน rand() ของ Windows ซึ่งเป็นฟังก์ชันที่ใช้สำหรับสร้างชุดเลขสุ่มเทียม (Pseudo Random Number Generator) หากกำหนดตัวตั้งต้น (seed) เป็นค่าเดียวกัน ตัวฟังก์ชันจะให้ค่าของเลขสุ่มออกมาเป็นลำดับชุดเดียวกันเสมอ ตัวอย่างไฟล์ WAV และโค้ดของโปรแกรมที่ใช้สกัดข้อมูลออกมาจากไฟล์ดังกล่าวสามารถดูเพิ่มเติมได้จากเว็บไซต์ของ Cylance
ทางทีมนักวิจัยได้ให้ข้อมูลเพิ่มเติมว่า การตรวจสอบหรือวิเคราะห์การโจมตีที่ใช้เทคนิค steganography นี้ถือเป็นเรื่องที่ท้าทาย เนื่องจากต้องมีความเข้าใจเรื่องรูปแบบโครงสร้างไฟล์ รวมถึงเทคนิค encoding/decoding เป็นอย่างดีด้วย นอกจากนี้การตรวจจับหรือป้องกันก็อาจทำได้ยากเนื่องจากประเภทของไฟล์ที่ถูกใช้เพื่อซ่อนอำพรางข้อมูลนั้นรูปแบบที่นิยมใช้งานกันทั่วไปและมีการรับส่งกันเป็นปกติ
————————–
ที่มา : Thaicert / 17 ตุลาคม 2562
Link : https://www.thaicert.or.th/newsbite/2019-10-17-01.html?fbclid=IwAR0gPlhtl5Iz2uhgRiKkyVyonSz4pUXP7KQk90gO0vztcY8QQu-C59DArO4#2019-10-17-01