Эксфильтрация данных через изображения

Хакер взлом пентест

Су­щес­тву­ют необыч­ные методы эксфиль­тра­ции дан­ных, выявить их на уров­не сети невоз­можно. Так, в 2017 году Алан Мони из ком­пании Pen Test Partners опи­сал метод эксфиль­тра­ции через кодиро­вание дан­ных в зна­чени­ях цве­та пик­селей. Ата­куемый хост мига­ет экра­ном, при­нима­ющая сто­рона зах­ватыва­ет видео и декоди­рует дан­ные. При раз­решении экра­на 1920 × 1080 при 24-бит­ном цве­те мож­но кодиро­вать поч­ти 6 Мбайт.

Еще по теме: ICMP-туннелирование при пентесте

Эксфильтрация данных через изображения

Алан Мони соз­дал и ути­литу, реали­зующую этот метод. Зах­вачен­ный хост мига­ет экра­ном и в каж­дой вспыш­ке переда­ет блок дан­ных, который начина­ется с опре­делен­ного заголов­ка. Как толь­ко при­емник получа­ет кадр без заголов­ка, он вос­ста­нав­лива­ет содер­жимое из уже получен­ных кад­ров и сох­раня­ет резуль­тат в файл.

На при­нима­ющей сто­роне необ­ходимо запус­тить ути­литу в режиме Receiver.

За­пуск ути­литы в режиме Receiver
За­пуск ути­литы в режиме Receiver

На переда­ющей сто­роне нуж­но открыть файл, который будет закоди­рован в пик­сели и счи­тан при­нима­ющей сто­роной.

Эксфильтрация данных через изображения
От­кры­тие фай­ла

Пос­ле откры­тия фай­ла экран нач­нет мигать. При­нима­ющая сто­рона будет декоди­ровать пик­сели и сох­ранять файл.

Эксфильтрация данных через изображения
Де­коди­рова­ние пик­селей и сох­ранение фай­ла

Этот метод ста­новит­ся осо­бен­но акту­аль­ным во вре­мя пан­демии, так как мно­гие ком­пании переш­ли на уда­лен­ку и исполь­зуют для дос­тупа к внут­ренней сети средс­тва вро­де RDP и Citrix.

Как детектировать эксфильтрацию данных через изображения?

Об­наружить такой спе­цифи­чес­кий метод штат­ными средс­тва­ми может быть проб­лематич­но. Одна­ко ути­лита пока что встре­чает­ся ред­ко и не обросла боль­шим чис­лом модифи­каций. Так что мож­но защитить­ся добав­лени­ем хеша исполня­емо­го фай­ла в базу анти­виру­са.

Что­бы пол­ноцен­но отсле­живать запуск подоб­ного передат­чика, при­дет­ся кон­тро­лиро­вать изоб­ражение рабоче­го сто­ла сот­рудни­ков. Так как при­емник ищет в кад­рах спе­циаль­ный заголо­вок, его может искать и средс­тво защиты.

Как обойти эксфильтрацию данных через изображения?

Вен­дор­ских решений, которые бы про­тиво­дей­ство­вали такому спо­собу эксфиль­тра­ции, пока что не сущес­тву­ет, поэто­му и запуск передат­чика вряд ли будет обна­ружен. Одна­ко, если в ком­пании исполь­зуют­ся сис­темы, кон­тро­лиру­ющие активность сот­рудни­ков, есть опре­делен­ная веро­ятность, что кто‑то может заметить стран­ное мигание на рабочем сто­ле. Так что перед исполь­зовани­ем это­го метода сто­ит заранее убе­дить­ся, смот­рит ли дежур­ная служ­ба за рабочи­ми сто­лами сот­рудни­ков или нет.

Заключение

Как извес­тно, информа­цию нель­зя извлечь толь­ко из вык­лючен­ного компь­юте­ра в клет­ке Фарадея, залитой для надеж­ности бетоном. По край­ней мере, пока.

В сов­ремен­ных реалиях ком­пании не могут поз­волить себе быть пол­ностью изо­лиро­ван­ными от мировой сети. Тем не менее наибо­лее эффектив­ный и недоро­гой метод про­тиво­дей­ствия — это бло­киров­ка исхо­дяще­го тра­фика. Если заб­локиро­вать облачные дис­ки и мес­сен­дже­ры на перимет­ре ком­пании, это оста­новит хотя бы сот­рудни­ков, не обла­дающих спе­циаль­ными зна­ниями.

Ве­дение белого спис­ка внеш­них хос­тов, к которым раз­решен тра­фик ICMP, огра­ничит воз­можность пос­тро­ения ICMP-тун­неля.

Для эксфиль­тра­ции через веб‑сер­висы мож­но исполь­зовать прак­тичес­ки любой ресурс, поз­воля­ющий заг­ружать дан­ные. Но все ресур­сы, где есть фун­кция ком­менти­рова­ния, заб­локиро­вать невоз­можно, не сде­лав инфраструк­туру изо­лиро­ван­ной.

Про­фили­рова­ние тра­фика орга­низа­ции и выяв­ление базово­го уров­ня поз­волит находить ано­малии в количес­тве или раз­мерах пакетов, которые могут сви­детель­ство­вать о попыт­ке эксфиль­тра­ции дан­ных. Исполь­зование же сис­тем DLP эффектив­но ров­но до того момен­та, пока зло­умыш­ленник не нач­нет при­менять шиф­рование.

В зак­лючение напом­ню, что сис­темы бес­полез­ны, если у зло­умыш­ленни­ка будет физичес­кий дос­туп к ПК, воз­можность вста­вить свою флеш­ку, 3G-модем или выдер­нуть сетевой кабель и вста­вить в свой ноут­бук или роутер.

Еще по теме: Проброс портов при пентесте и постэксплуатации

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий