Categories: SicherheitVirus

Steganografie: Cyberkriminelle verstecken Schadcode in WAV-Dateien

Malware-Entwickler beschäftigen sich offenbar mit der Möglichkeit, Schadcode in Audio-Dateien im WAV-Format (Wave) zu verstecken. Diese auch als Steganografie bezeichnete Technik verbirgt Informationen, indem sie in andere Daten eingebaut werden. Sie kann aber auch helfen, Schadcode an Sicherheitsanwendungen vorbei einzuschleusen und auszuführen.

Bisher waren nur Malware-Varianten bekannt, die ihren schädlichen Code per Steganografie in Bildern einschleusten. Zwei kürzlich veröffentlichte Berichte zeigen jedoch, in diesem Jahr erstmals auch Wave-Dateien für diesen Zweck missbraucht wurden.

Symantec meldete im Juni eine Kampagne russischer Hacker. Sie setzten für ihre Spionagekampagne auf WAV-Dateien, um Schadcode an die bereits infizierten Systeme ihrer Opfer auszuliefern. Eine zweite Kampagne entdeckte Blackberry Cylance in diesem Monat. Deren Hintermänner verbargen DLLs-Dateien in Wave-Dateien. Auch wurde eine bereits auf den infizierten Systemen vorhandene Schadsoftware benutzt, um die WAV-Dateien zu lesen und die DLLs zu extrahieren – und mit deren Hilfe einen Cryptominer zu installieren.

Blackberry Cylance fand die fragliche Malware auf Windows-Desktops und auch auf Windows-Servern. Es soll sich zudem um den ersten Crypto-Miner handeln, der Steganografie nutzt. „Der Einsatz von Steganografie-Techniken erfordert ein tiefes Verständnis des Zieldateiformats“, sagte Josh Lemos, Vice President of Research bei Blackberry Cylance im Gespräch mit ZDNet USA. „Es wird im Allgemeinen von erfahrenen Bedrohungsakteuren verwendet, die über einen langen Zeitraum unentdeckt bleiben wollen.“

Die Entwicklung von Steganografie-Techniken benötige Zeit. Die bereits zu dem Thema veröffentlichten Studien versetze die Cyberkriminellen aber auch in die Lage, sich gezielt mit Steganografie auseinanderzusetzen. Lemos betonte zudem, dass das Verfahren nicht auf Audio- oder Bilddateien beschränkt sei. „Steganografie kann mit jedem Dateiformat verwendet werden, solange der Angreifer die Struktur und die Einschränkungen des Formats einhält, so dass alle Änderungen, die an der Zieldatei vorgenommen werden, nicht deren Integrität beeinträchtigen.“

Das hat zur Folge, dass es nicht möglich ist, bestimmte Dateiformate zu blockieren, um Steganografie-Angriffe zu verhindern. Allerdings wird die Steganografie bisher nur benutzt, um Daten unbemerkt zu übertragen – sie ist nicht der Eintrittspunkt der Malware in ein System. Ziel muss es also sein, die Schadprogramme zu blockieren, die Steganografie für ihre Zwecke missbrauchen.

WEBINAR

BlackBerry CylancePERSONA – Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Erfahren Sie in diesem Webinar, wie Sie die Vorteile von BlackBerry Intelligent Security in Ihrem Unternehmen voll ausschöpfen. Dazu zählen etwa eine höhere Endgerätesicherheit, ein verbesserter Bedienkomfort sowie eine erhöhte Produktivität bei reduzierten Kosten.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sinequa-Marktbefragung in UK, Frankreich und Deutschland: In punkto DSGVO-Reife hält sich jeder für den Spitzenreiter

Zwei Jahre nach Inkrafttreten der EU-weiten DSGVO-Datenschutzbestimmungen hat der Anbieter kognitiver Such- und Analysesoftware eine Umfrage in drei europäischen Ländern…

21 Stunden ago

Ausprobiert: Rock Space WLAN Repeater AC1200

Der Rock Space WLAN Repeater AC1200 funkt mit 5 und 2,4 GHz. Die maximale Übertragungsrate beträgt 867 MBit/s. Bei 2,4…

2 Tagen ago

BSI veröffentlicht Sicherheitsanforderungen für Smartphones

Mit dem Forderungskatalog will das BSI einen öffentlichen Diskurs über Sicherheit von Smartphones starten. Die Anforderungen sollen zukünftig in Richtlinien…

2 Tagen ago

Update für Chrome schließt Zero-Day-Lücke

Mit Version 80.0.3987.122 schließt Google in Chrome drei Sicherheitslücken. Mit CVE-2020-6418 findet sich darunter auch eine Zero-Day-Lücke die aktiv ausgenutzt…

2 Tagen ago

Firefox: Mozilla aktiviert DNS-über-HTTPS für US-Nutzer

Durch die Verschlüsselung von DNS-Abfragen schützen sich Anwender vor dem Ausspionieren des Surfverhaltens. Anders als beim Google-Browser Chrome können Firefox-Nutzer…

2 Tagen ago

Opera R2020 mit verbessertem Tab-Management

Opera 67.0 alias R2020 soll mit seinem verbessertem Tab-Management für Ordnung beim Surfen sorgen. Tabs lassen sich in insgesamt fünf…

2 Tagen ago