июль    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

показать все 

16.07.2025

Российский бизнес назвал вирусов-шифровальщиков главной угрозой сетевой безопасности

Читать далее 

16.07.2025

Половина веб-атак на госсектор – это попытки подбора пароля к учетным записям пользователей

Читать далее 

16.07.2025

Методы стеганографии становятся популярнее: когда картинка может стать угрозой ИБ

Читать далее 

16.07.2025

«Спортмастер» в 20 раз увеличил объем облачных мощностей с платформой VK Cloud

Читать далее 

15.07.2025

ГК «Медскан» представила первую медицинскую фиджитал-платформу в России

Читать далее 

показать все 

30.06.2025

Нет никакого развития современных технологий!

Читать далее 

30.06.2025

Людмила Сальникова: «Сегодня руководитель, который хочет быть успешным, иметь свой мощный репутационный капитал, просто обязан быть публичным. В цифровом мире неизвестность равносильна пустому месту»

Читать далее 

30.06.2025

Сергей Мисюра: «В техподдержке – 95% инцидентов уникальны по содержанию»

Читать далее 

26.06.2025

Я – Ваш ИИ-помощник

Читать далее 

26.06.2025

Новые технологии: зачем нам столько?

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

22.09.2023

Проще, чем кажется. Эталонная модель документооборота или краткое руководство по цифровой трансформации

Читать далее 

показать все 

Главная / Новости партнеров / Методы стеганографии становятся популярнее: когда картинка может стать угрозой ИБ

Специалисты по кибербезопасности зафиксировали всплеск случаев применения стеганографии по сетевому вектору. Пользователи, в число которых входят и злоумышленники, скрывают файлы и изображения в TXT-записях DNS. Это позволяет эффективно сохранять целостность вложений и извлекать их с помощью DNS-запросов, но усложняет детектирование на этапе доставки потенциального вредоносного элемента.

Ирина Дмитриева, эксперт и инженер-аналитик компании «Газинформсервис», объяснила схему, по которой метод взят на вооружение киберпреступниками, и рассказала, как защититься от подобных атак.

 Как отмечает Дмитриева, подобная траектория внедрения нагрузки включает разбиение файлов на части, их преобразование в шестнадцатеричный формат или строки в кодировке Base64, а затем запись в TXT-поля. «Эти фрагменты могут оставаться нетронутыми до тех пор, пока DNS-сервер не удалит или не обновит данные. Своего рода формат хранения данных с краткосрочной ротацией. Этот подход приобрел название ‘dnsimg’ — и описан как "новый подход к сокрытию данных, использующий повсеместный протокол DNS для хранения визуального контента"», — поясняет Дмитриева.

 Ирина Дмитриева объяснила, что процесс начинается с извлечения необработанных двоичных данных из файлов изображений с помощью утилиты командной строки xxd для генерации шестнадцатеричных представлений данных изображения. Далее нетривиальный скрипт на Python автоматизирует процесс сегментации данных, вычисляя общее количество необходимых фрагментов и создавая отдельные DNS-записи для каждого сегмента. Каждому фрагменту присваивается уникальный идентификатор поддомена, а дополнительная запись dnsimg-count содержит общее количество фрагментов для целей восстановления. Механизм извлечения данных использует многопоточные скрипты на Python, которые одновременно запрашивают каждый фрагмент.

 «Для минимизации угроз применения стеганографии в целях распространения ВПО в TXT-записях DNS-протокола необходимо применение комплексного технического подхода. В частности, на локальных серверах рекомендуется внедрить ограничительную политику DNS, которая предусматривает ограничения на длину TXT-записей, а также проводить проверки формата данных и блокировать длинные строки шестнадцатеричных данных, Base64 или явно бинарные данные», — подчеркнула инженер-аналитик.

 Дмитриева добавила: «Безусловно, для проактивной защиты требуется блокировать вредоносные домены, проводить DNS-фильтрацию и глубокий анализ TXT-записей: здесь не обойтись без NGFW, IDS/IPS и SIEM-решений. Если блокировка по политикам кажется недостаточным или невозможным решением, стоит обратить внимание на паттерны детектирования для SIEM-алертов: структура данных и сигнатуры YARA для поиска известных хэшей вредоносных файлов, фрагментов вредоносных скриптов или С2 из извлекаемых записей TXT. При мониторинге стоит обратить внимание на всплеск запросов к подозрительным доменам. Для решения указанных выше задач предлагаем современное решение для бизнеса — Ankey SIEM NG компании "Газинформсервис". Отказоустойчивая и масштабируемая SIEM-система поможет покрыть потребности распределённой инфраструктуры в вопросах мониторинга и реагирования на высококритичные инциденты».

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи