ноябрь    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

показать все 

31.10.2025

Почти 70% компаний не используют системы защиты от утечек данных

Читать далее 

30.10.2025

Айсорс запустил Центр промышленной автоматизации

Читать далее 

30.10.2025

Каждая вторая компания в мире внедряет системы управления процессами — рынок вырос вдвое за год

Читать далее 

30.10.2025

State of DevOps Russia 2025: рост зрелости команд, интеграция AI и приоритет безопасности

Читать далее 

30.10.2025

70% компаний не соответствуют требованиям закона о защите персональных данных

Читать далее 

показать все 

31.10.2025

Поддержка 1С - "черная дыра" IT- бюджета: как превратить хаос в управляемый процесс и оптимизировать затраты

Читать далее 

18.10.2025

Как посчитать реальную выгоду от ИИ в видеонаблюдении?

Читать далее 

18.10.2025

Управление расходами: режем косты с помощью ИИ

Читать далее 

17.10.2025

Безопасность как сервис (SECaaS)

Читать далее 

16.10.2025

До 97% выросло количество людей, которые реагируют на утечку своих персональных данных

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Новости партнеров / Методы стеганографии становятся популярнее: когда картинка может стать угрозой ИБ

Специалисты по кибербезопасности зафиксировали всплеск случаев применения стеганографии по сетевому вектору. Пользователи, в число которых входят и злоумышленники, скрывают файлы и изображения в TXT-записях DNS. Это позволяет эффективно сохранять целостность вложений и извлекать их с помощью DNS-запросов, но усложняет детектирование на этапе доставки потенциального вредоносного элемента.

Ирина Дмитриева, эксперт и инженер-аналитик компании «Газинформсервис», объяснила схему, по которой метод взят на вооружение киберпреступниками, и рассказала, как защититься от подобных атак.

 Как отмечает Дмитриева, подобная траектория внедрения нагрузки включает разбиение файлов на части, их преобразование в шестнадцатеричный формат или строки в кодировке Base64, а затем запись в TXT-поля. «Эти фрагменты могут оставаться нетронутыми до тех пор, пока DNS-сервер не удалит или не обновит данные. Своего рода формат хранения данных с краткосрочной ротацией. Этот подход приобрел название ‘dnsimg’ — и описан как "новый подход к сокрытию данных, использующий повсеместный протокол DNS для хранения визуального контента"», — поясняет Дмитриева.

 Ирина Дмитриева объяснила, что процесс начинается с извлечения необработанных двоичных данных из файлов изображений с помощью утилиты командной строки xxd для генерации шестнадцатеричных представлений данных изображения. Далее нетривиальный скрипт на Python автоматизирует процесс сегментации данных, вычисляя общее количество необходимых фрагментов и создавая отдельные DNS-записи для каждого сегмента. Каждому фрагменту присваивается уникальный идентификатор поддомена, а дополнительная запись dnsimg-count содержит общее количество фрагментов для целей восстановления. Механизм извлечения данных использует многопоточные скрипты на Python, которые одновременно запрашивают каждый фрагмент.

 «Для минимизации угроз применения стеганографии в целях распространения ВПО в TXT-записях DNS-протокола необходимо применение комплексного технического подхода. В частности, на локальных серверах рекомендуется внедрить ограничительную политику DNS, которая предусматривает ограничения на длину TXT-записей, а также проводить проверки формата данных и блокировать длинные строки шестнадцатеричных данных, Base64 или явно бинарные данные», — подчеркнула инженер-аналитик.

 Дмитриева добавила: «Безусловно, для проактивной защиты требуется блокировать вредоносные домены, проводить DNS-фильтрацию и глубокий анализ TXT-записей: здесь не обойтись без NGFW, IDS/IPS и SIEM-решений. Если блокировка по политикам кажется недостаточным или невозможным решением, стоит обратить внимание на паттерны детектирования для SIEM-алертов: структура данных и сигнатуры YARA для поиска известных хэшей вредоносных файлов, фрагментов вредоносных скриптов или С2 из извлекаемых записей TXT. При мониторинге стоит обратить внимание на всплеск запросов к подозрительным доменам. Для решения указанных выше задач предлагаем современное решение для бизнеса — Ankey SIEM NG компании "Газинформсервис". Отказоустойчивая и масштабируемая SIEM-система поможет покрыть потребности распределённой инфраструктуры в вопросах мониторинга и реагирования на высококритичные инциденты».

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи