сентябрь    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

12.09.2025

ИИзумительное рядом: эксперт Полунин о новой реальности

Читать далее 

12.09.2025

«Инфосистемы Джет» представила масштабное исследование о состоянии ИТ-рынка России

Читать далее 

12.09.2025

Рексофт: Внедрение генеративного ИИ при правильном подходе может принести российским банкам до 1,9 трлн руб. в перспективе 2-5 лет

Читать далее 

11.09.2025

Бизнес-день GIS DAYS 2025: ключевые игроки ИБ-рынка обсудят защиту ИИ, BAS-тестирование и новые вызовы

Читать далее 

11.09.2025

В России запущена Цифровая платформа для испытаний оборудования в нефтегазовой отрасли

Читать далее 

показать все 

05.09.2025

DevOps как методология в 2025 году — что уже устарело, что становится must-have, какие инструменты и подходы реально работают в продакшене

Читать далее 

20.08.2025

Как опрос про ИИ-ботов спровоцировал цифровой раскол?

Читать далее 

12.08.2025

Светлана Ткаченко, УЦ РДТЕХ: «Выбор зарубежных СУБД объясним инертностью мышления»

Читать далее 

04.08.2025

Каждому покупателю – по ИИ-агенту

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

27.07.2025

Что сегодня в тренде?

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Новости партнеров / Методы стеганографии становятся популярнее: когда картинка может стать угрозой ИБ

Специалисты по кибербезопасности зафиксировали всплеск случаев применения стеганографии по сетевому вектору. Пользователи, в число которых входят и злоумышленники, скрывают файлы и изображения в TXT-записях DNS. Это позволяет эффективно сохранять целостность вложений и извлекать их с помощью DNS-запросов, но усложняет детектирование на этапе доставки потенциального вредоносного элемента.

Ирина Дмитриева, эксперт и инженер-аналитик компании «Газинформсервис», объяснила схему, по которой метод взят на вооружение киберпреступниками, и рассказала, как защититься от подобных атак.

 Как отмечает Дмитриева, подобная траектория внедрения нагрузки включает разбиение файлов на части, их преобразование в шестнадцатеричный формат или строки в кодировке Base64, а затем запись в TXT-поля. «Эти фрагменты могут оставаться нетронутыми до тех пор, пока DNS-сервер не удалит или не обновит данные. Своего рода формат хранения данных с краткосрочной ротацией. Этот подход приобрел название ‘dnsimg’ — и описан как "новый подход к сокрытию данных, использующий повсеместный протокол DNS для хранения визуального контента"», — поясняет Дмитриева.

 Ирина Дмитриева объяснила, что процесс начинается с извлечения необработанных двоичных данных из файлов изображений с помощью утилиты командной строки xxd для генерации шестнадцатеричных представлений данных изображения. Далее нетривиальный скрипт на Python автоматизирует процесс сегментации данных, вычисляя общее количество необходимых фрагментов и создавая отдельные DNS-записи для каждого сегмента. Каждому фрагменту присваивается уникальный идентификатор поддомена, а дополнительная запись dnsimg-count содержит общее количество фрагментов для целей восстановления. Механизм извлечения данных использует многопоточные скрипты на Python, которые одновременно запрашивают каждый фрагмент.

 «Для минимизации угроз применения стеганографии в целях распространения ВПО в TXT-записях DNS-протокола необходимо применение комплексного технического подхода. В частности, на локальных серверах рекомендуется внедрить ограничительную политику DNS, которая предусматривает ограничения на длину TXT-записей, а также проводить проверки формата данных и блокировать длинные строки шестнадцатеричных данных, Base64 или явно бинарные данные», — подчеркнула инженер-аналитик.

 Дмитриева добавила: «Безусловно, для проактивной защиты требуется блокировать вредоносные домены, проводить DNS-фильтрацию и глубокий анализ TXT-записей: здесь не обойтись без NGFW, IDS/IPS и SIEM-решений. Если блокировка по политикам кажется недостаточным или невозможным решением, стоит обратить внимание на паттерны детектирования для SIEM-алертов: структура данных и сигнатуры YARA для поиска известных хэшей вредоносных файлов, фрагментов вредоносных скриптов или С2 из извлекаемых записей TXT. При мониторинге стоит обратить внимание на всплеск запросов к подозрительным доменам. Для решения указанных выше задач предлагаем современное решение для бизнеса — Ankey SIEM NG компании "Газинформсервис". Отказоустойчивая и масштабируемая SIEM-система поможет покрыть потребности распределённой инфраструктуры в вопросах мониторинга и реагирования на высококритичные инциденты».

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи