Стеганография по-прежнему пользуется популярностью

Александр Панасенко 23 Ноября 2015 - 13:46

...

Сотрудники компании Crowdstrike и подразделения Dell SecureWorks представили доклад на конференции Black Hat Europe. Они рассказали, что стеганография по-прежнему не забыта злоумышленниками и остается надежными методом сокрытия данных.

Сама идея стеганографии не нова — первое упоминание этого термина относится к 1499 году, и уже тогда под этим подразумевалась передача информации путем сохранения в тайне самого факта передачи. Как ни странно, в наши дни стеганография не получила широкого признания в среде киберпреступников, хотя нельзя сказать, чтобы к ней не прибегли вовсе – такие случаи были, пишет xakep.ru.

Теперь исследователи из Crowdstrike и Dell SecureWorks утверждают, что стеганография переживает новый, заметный виток популярности в хакерской среде, и приводят примеры. Один из наиболее свежих образчиков применения стеганографии – DDoS-инструмент Foreign. Бот прячет команды в стандартных сообщениях об ошибке протокола HTTP. Foreign парсит страницу и сталкивается с обычной, на первый взгляд, ошибкой 404. На самом деле, в ошибке сокрыта C&C команда, закодированная с применением Base64 и спрятанная между тегами comment. Отследить такой обмен данными с командным сервером крайне затруднительно.

Также исследователи рассказали о даунлоудере Lurk, который скачивает на зараженные машины клик-фрод программы. Lurk впервые был замечен аналитиками еще в 2014 году, и тогда же даунлудер уличили в том, что он прячет URL, с которых получает контент, в .bmp файлах, то есть в картинках.

Банковская малварь Gozi (также известная как Vawtrak, Neverquest или Snifula) начала использовать стеганографию в начале текущего года и применяет ее в качестве «резервного механизма для получения URL, с которых может скачать файл конфигурации». Авторы трояна невероятно изобретательны, потому как зашифрованная информация хранится в файлах favicon.ico, которые хостятся в Tor. Об этом примечательном случае мы рассказывали весной текущего года.

Кроме того, в поле зрения исследователей попал вредонос Stegoloader, который работает по схожей с Lurk схеме. Малварь полагается в работе на специальный модуль, который скачивает изображения PNG, содержащие вредоносный код. В основном Stegoloader похищает системную информацию, но также может использоваться для загрузки дополнительных модулей, а после – для получения доступа к документам, списку установленных программ, кражи истории браузера и установки дополнительной малвари, которая, в свою очередь, похищает пароли.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Апреля 2026 - 08:48

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Наталья Касперская извинилась перед Роскомнадзором за пост о сбое в рунете

Президент ГК InfoWatch, глава правления АРПП «Отечественный софт» и соосновательница «Лаборатории Касперского» Наталья Касперская извинилась перед Роскомнадзором за свой пост о причинах масштабного сбоя, который 3 апреля затронул банковские сервисы и СБП.

Напомним, в тот день пользователи массово жаловались на проблемы в работе Сбербанка, Т-Банка, ВТБ, Ozon Банка и сервиса доставки «Самокат».

На фоне этих неполадок Касперская написала в своём телеграм-канале, что, по её версии, причиной мог стать Роскомнадзор, который якобы слишком активно взялся за борьбу с VPN.

В своём первом комментарии она ссылалась на мнение знакомых технических специалистов и утверждала, что блокировка VPN без побочных эффектов для остального интернета практически невозможна.

По словам Касперской, VPN-тоннели глубоко встроены в сетевой трафик и используют протоколы, которые во многом пересекаются с теми, что применяют банки и другие легальные сервисы. Именно поэтому попытка ограничить такие механизмы могла привести к массовым сбоям.

Тогда же она довольно резко описала ситуацию, сравнив происходящее с «вражеским налётом», и даже посоветовала россиянам снять наличные и сохранять нужные страницы сайтов офлайн. Кроме того, она допустила, что официально в случившемся могут обвинить «внешних врагов».

Однако позже Касперская опубликовала новый пост, но уже с извинениями. Глава правления АРПП «Отечественный софт» сообщила, что Андрей Липов в личном разговоре объяснил ей: реальной причиной сбоя стали внутренние неполадки в системах Сбербанка.

Поскольку Сбербанк является системообразующим игроком и на его инфраструктуру завязаны другие банки, проблемы внутри этой системы сказались и на работе ряда финансовых сервисов, включая СБП.

В новом сообщении Касперская назвала Роскомнадзор «уважаемым ведомством» и признала, что сделала поспешные выводы. При этом полностью тему она не закрыла и заодно раскритиковала профильные органы за слабую публичную коммуникацию.

По её мнению, если бы Минцифры, Роскомнадзор или сам Сбербанк быстрее и подробнее объяснили, что именно произошло, пространство для слухов и догадок было бы куда меньше. Она отдельно отметила, что в тот же день министр цифрового развития Максут Шадаев говорил о блокировке VPN, и многие вполне логично связали это заявление со сбоем в банковской сфере.

Касперская также подчеркнула, что Роскомнадзор в этой ситуации выступает скорее исполнителем и не должен делать самостоятельные политические заявления. А вот более активного диалога с ИТ-сообществом, по её мнению, как раз не хватает со стороны Минцифры и правительства.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!