साधारण दृश्य में छुपना: कैसे मैलवेयर छवियों में स्टेगनोग्राफी से छिपाया जा सकता है?

साइबर सुरक्षा में, हमलावर लगातार विकसित होते रहते हैं और फाइलों के भीतर दुर्भावनापूर्ण कोड छिपाने के नए तरीके विकसित करते हैं। ऐसा ही एक तरीका है स्टेगनोग्राफी, जो एक सामान्य, गैर-गुप्त संदेश या फाइल के भीतर गुप्त जानकारी छिपाने की प्रथा है। डिजिटल छवियों के संदर्भ में, स्टेगनोग्राफी का मतलब है छवि के पिक्सेल के भीतर गुप्त डेटा को इस तरह से एम्बेड करना कि उसकी दृश्य उपस्थिति प्रभावित न हो।

जबकि स्टेगनोग्राफी का उपयोग संवेदनशील जानकारी की सुरक्षा जैसे वैध उद्देश्यों के लिए किया जा सकता है, इसका उपयोग हमलावरों द्वारा मालवेयर को निर्दोष दिखने वाली फाइलों के भीतर छिपाने के लिए भी किया जा सकता है। स्टेगनोग्राफी का उपयोग करके छवियों में छिपा मालवेयर पारंपरिक एंटीवायरस सॉफ़्टवेयर द्वारा पता नहीं चल पाता, जिससे यह हमलावरों के लिए एक प्रभावी उपकरण बन जाता है।

स्टेगनोग्राफी तकनीकों का उपयोग करके छवि के भीतर मालवेयर छिपाने के लिए, हमलावर आमतौर पर निम्नलिखित चरणों का पालन करते हैं:

1. एक छवि फ़ाइल का चयन करना: हमलावर आमतौर पर JPEG, PNG, या BMP जैसे सामान्य छवि प्रारूप को अपने मालवेयर के कैरियर फ़ाइल के रूप में चुनते हैं। चुनी गई फ़ाइल को इतना पर्याप्त होना चाहिए कि वह मालवेयर पेलोड को बिना फ़ाइल के आकार या दृश्य उपस्थिति को महत्वपूर्ण रूप से प्रभावित किए होल्ड कर सके।
2. मालवेयर पेलोड बनाना: मालवेयर पेलोड वह कोड या डेटा होता है जिसे हमलावर छवि के भीतर छिपाना चाहता है। पेलोड किसी भी प्रकार का मालवेयर हो सकता है, जैसे वायरस, ट्रोजन, या बैकडोर।
3. पेलोड को एन्कोड करना: पेलोड को स्टेगनोग्राफी तकनीकों का उपयोग करके एन्कोड किया जाता है ताकि एक नई छवि फ़ाइल बनाई जा सके। पेलोड को छवि के पिक्सेल मानों के सबसे कम महत्वपूर्ण बिट्स को संशोधित करके एम्बेड किया जाता है। चूंकि संशोधन मामूली होते हैं और पिक्सेल के समग्र रंग मानों पर महत्वपूर्ण प्रभाव नहीं पड़ता, इसलिए मानव आंख छवि में किसी भी परिवर्तन का पता नहीं लगा पाती।
4. छवि का वितरण: हमलावर फिर छवि फ़ाइल को विभिन्न चैनलों जैसे ईमेल, सोशल मीडिया, या दुर्भावनापूर्ण वेबसाइटों के माध्यम से वितरित करता है। एक बार जब छवि फ़ाइल डाउनलोड और खोली जाती है, तो छिपा हुआ मालवेयर पेलोड निष्पादित हो सकता है, जिससे पीड़ित के सिस्टम को नुकसान हो सकता है।

स्टेगनोग्राफी का पता लगाना एंटी-मालवेयर उपकरणों के लिए कठिन होता है क्योंकि छवि में किए गए संशोधन बहुत छोटे होते हैं। इसके अलावा, स्टेगनोग्राफी हमले आमतौर पर ज़ीरो-डे खतरों के रूप में प्रकट होते हैं, जिससे पता लगाना और भी चुनौतीपूर्ण हो जाता है।
स्टेगनोग्राफी का उपयोग करने वाले मालवेयर का एक उदाहरण है LokiBot, जो उपयोगकर्ता नाम, पासवर्ड, और क्रिप्टोकरेंसी वॉलेट जैसी संवेदनशील जानकारी चुराता है। LokiBot खुद को .jpg और .exe फाइल के रूप में इंस्टॉल करता है, जिसमें .jpg फाइल कार्यान्वयन के लिए आवश्यक डेटा को अनलॉक करती है।
 

नया LokiBot मालवेयर वेरिएंट अपने कोड को छुपाने के लिए स्टेगनोग्राफी का उपयोग करता है
LokiBot, एक मालवेयर परिवार जो पहले जानकारी चोरी करने और कीलॉगिंग के लिए जाना जाता था, अब अपने पता लगाने से बचने की क्षमता को बेहतर बनाने के लिए नए फीचर्स के साथ अपडेट किया गया है। Trend Micro Research द्वारा LokiBot के एक नए वेरिएंट के हालिया विश्लेषण में पता चला कि यह मालवेयर अब स्टेगनोग्राफी का उपयोग करता है। यह तकनीक इसे एक छवि फ़ाइल के भीतर अपना कोड छिपाने की अनुमति देती है। मालवेयर एक अपडेटेड पर्सिस्टेंस मेकैनिज्म और दुर्भावनापूर्ण ISO फ़ाइल अटैचमेंट वाले स्पैम मेल का उपयोग भी करता है।

उदाहरण के लिए, Trend Micro ने नया LokiBot वेरिएंट उस समय खोजा जब एक दक्षिण पूर्व एशियाई कंपनी ने फर्म की Managed Detection and Response सेवा के लिए सदस्यता ली और उन्हें एक ईमेल मिला जिसमें संभावित रूप से दुर्भावनापूर्ण अटैचमेंट था, जिसके बारे में उन्होंने सूचित किया। ईमेल में एक अटैचमेंट था जो कथित तौर पर भारत की एक कन्फेक्शनरी कंपनी से था। फिर भी, प्रेषक का नाम और ईमेल हस्ताक्षर मेल नहीं खाते थे, और ईमेल का IP पता दुर्भावनापूर्ण था।

मालवेयर %Temp%[filename].exe के रूप में इंस्टॉल होता है, साथ ही %temp%[filename].jpg भी होता है, जिसमें एन्क्रिप्टेड बाइनरी डेटा होता है जो अनपैकिंग चरणों के दौरान उपयोग किया जाता है जब तक कि मुख्य LokiBot कोड मेमोरी में डिक्रिप्ट नहीं हो जाता। एक बार डिक्रिप्ट हो जाने पर, मालवेयर लक्षित एप्लिकेशन से क्रेडेंशियल्स चुराता है।

स्टेगनोग्राफी का उपयोग करके, LokiBot अपने कोड में एक अतिरिक्त अस्पष्टता की परत जोड़ता है और अपने कोड को निष्पादित करने के लिए मालवेयर को सीधे निष्पादित करने के बजाय एक Visual Basic स्क्रिप्ट फ़ाइल इंटरप्रेटर का उपयोग करता है। यह तकनीक मालवेयर का पता लगाना और विश्लेषण करना कठिन बनाती है।
 

अपने आप को कैसे सुरक्षित रखें
छवि स्टेगनोग्राफी से बचाव के लिए, संगठनों को प्रत्येक छवि पर ध्यान देना चाहिए और स्टेगनोग्राफी के संकेतों के लिए छवि संपादन सॉफ़्टवेयर का उपयोग करना चाहिए। उन्हें नेटवर्क को सेगमेंट करना चाहिए, बाइंडर्स का पता लगाने के लिए एंटी-मालवेयर को कॉन्फ़िगर करना चाहिए, विश्वसनीय हस्ताक्षर वाली एप्लिकेशन इंस्टॉल करनी चाहिए, आउटगोइंग ट्रैफ़िक की निगरानी करनी चाहिए, और स्टेगनोग्राफी सॉफ़्टवेयर के उपयोग को नियंत्रित करना चाहिए। इसके अलावा, Protectstar अनुशंसा करता है कि व्यवहारिक AI सॉफ़्टवेयर का उपयोग किया जाए जो दुर्भावनापूर्ण कोड के निष्पादन का पता लगा सके, चाहे वह छवि से उत्पन्न हो या किसी अन्य फ़ाइल से, या यहां तक कि अगर वह फाइललेस मालवेयर हो, जैसा कि Antivirus AI कर सकता है।

हैकर्स लगातार पता लगाने से बचने के नए तरीके विकसित कर रहे हैं, और छवि स्टेगनोग्राफी एक पुरानी तकनीक है जो अब अधिक परिष्कृत रूप में पुनः उभरी है। छवि स्टेगनोग्राफी में एक निर्दोष छवि के भीतर कोड छिपाना शामिल है, जिससे साइबर सुरक्षा विशेषज्ञों के लिए इसे पहचानना कठिन हो जाता है। हैकर्स ने इस विधि का उपयोग करके जानकारी को स्पष्ट रूप से छिपा दिया है, मुफ्त छवि होस्टिंग सेवाओं जैसे वैध सेवाओं का उपयोग करके अपने मालवेयर को अधिक से अधिक उपयोगकर्ताओं तक फैलाने के लिए।

हैकर्स के लिए डिजिटल सामग्री में दुर्भावनापूर्ण कोड छिपाना आसान है क्योंकि वे पिक्सेल को बदलकर मालवेयर एम्बेड कर सकते हैं। बदले गए और अपरिवर्तित पिक्सेल के रंग मानों के बीच अंतर मानव दृष्टि द्वारा पता नहीं लगाया जा सकता, इसलिए छिपे हुए डेटा के लिए हर छवि को स्कैन करना मशीनों के लिए समय लेने वाला होता है, खासकर जब खतरा अज्ञात हो। छवि स्टेगनोग्राफी का उपयोग पेलोड कोड के भीतर छिपाने या हमलों से जुड़े अतिरिक्त कोड या निष्पादन योग्य फ़ाइलों को कॉल करने के लिए किया जा सकता है।
 

स्टेगनोग्राफी की सीमित डिलीवरी तंत्र का अर्थ है कि इसकी आवृत्ति कम होती है और यह उच्च मात्रा प्राप्त नहीं कर सकती जो साइबर अपराधी पारंपरिक रूप से पसंद करते हैं। हालांकि, छवि स्टेगनोग्राफी टूलकिट व्यापक रूप से उपलब्ध हैं, बाजार में सैकड़ों मुफ्त ऐप्स हैं, जिससे किसी भी दुर्भावनापूर्ण इरादे वाले नौसिखिए के लिए उनका दुरुपयोग करना आसान हो जाता है। स्टेगनोग्राफी का इतिहास प्राचीन काल से है जब गुप्त संदेश मोम की टैबलेट्स में या निर्दोष दिखने वाले पत्रों के टेक्स्ट के नीचे छिपाए जाते थे। स्टेगनोग्राफी की तकनीकें और उपकरण विकसित हुए हैं और विभिन्न उद्देश्यों के लिए उपयोग किए गए हैं, जैसे सैन्य संचार से लेकर डिजिटल पाइरेसी तक।

आधुनिक डिजिटल युग में, स्टेगनोग्राफी हैकर्स के लिए मालवेयर छिपाने और साइबर हमले करने का एक महत्वपूर्ण उपकरण बन गया है। विशेष रूप से छवि स्टेगनोग्राफी का उपयोग हमलावरों द्वारा व्यापक रूप से किया जाता है ताकि वे दुर्भावनापूर्ण कोड को स्पष्ट रूप से छिपा सकें, जिससे पारंपरिक एंटीवायरस सॉफ़्टवेयर के लिए इसे पहचानना कठिन हो जाता है।

स्टेगनोग्राफी-आधारित हमलों को रोकने के लिए, संगठन विशेष सुरक्षा उपकरणों का उपयोग कर सकते हैं जो छवि फ़ाइलों में छिपे डेटा की उपस्थिति का विश्लेषण कर सकते हैं। इसके अलावा, स्टेगनोग्राफी पहचान क्षमताओं वाले एंटी-मालवेयर सॉफ़्टवेयर भी छवियों में छिपे मालवेयर की प्रभावी रूप से पहचान और अवरोध कर सकते हैं।

इसके अलावा, संगठनों को साइबर सुरक्षा के सर्वोत्तम अभ्यासों का पालन करना चाहिए, जैसे नियमित रूप से सॉफ़्टवेयर और ऑपरेटिंग सिस्टम को अपडेट करना, मजबूत पासवर्ड का उपयोग करना, और ईमेल में संदिग्ध लिंक और अटैचमेंट से बचना। कर्मचारी प्रशिक्षण और जागरूकता कार्यक्रम भी कर्मचारियों को साइबर खतरों को पहचानने और प्रतिक्रिया देने में मदद कर सकते हैं।

जैसे-जैसे खतरे का परिदृश्य विकसित होता है, संगठनों को स्टेगनोग्राफी-आधारित हमलों और अन्य उभरते खतरों से बचाव के लिए सतर्क और सक्रिय रहना चाहिए। सुरक्षा के लिए बहु-स्तरीय दृष्टिकोण अपनाकर और CDR जैसी उन्नत तकनीकों का उपयोग करके, संगठन अपने जोखिम को कम कर सकते हैं और अपनी समग्र साइबर सुरक्षा स्थिति को बेहतर बना सकते हैं।
 

अधिक जानें

Antivirus AI:
https://www.protectstar.com/en/products/antivirus-ai

Firewall AI:
https://www.protectstar.com/en/products/firewall-ai

LokiBot Gains New Persistence Mechanism, Steganography:
https://www.trendmicro.com/en_us/research/19/h/lokibot-gains-new-persistence-mechanism-uses-steganography-to-hide-its-tracks.html