ในงาน Black Hat Europe ที่เพิ่งจัดไปเมื่อกลางเดือนพฤศจิกายนที่ผ่านมา นักวิจัยจาก Dell SecureWorks และ Crowdstrike ได้กล่าวถึงการมาถึงของภัยคุกคามแคมเปญใหม่ที่เริ่มใช้เทคนิค Steganography หรือวิทยาการอำพรางข้อมูลเพื่อหลบซ่อนมัลแวร์มากขึ้น โดยตัวอย่างล่าสุดที่พบ คือ การซ่อนช่องทางติดต่อกับ C&C Server ผ่านทางหน้า 404 Page not found

ซ่อนคำสั่งติดต่อกับ C&C Server ผ่านทาง HTTP Error Message

Steganography หรือเทคนิคการอำพรางข้อมูลบนมีเดียต่างๆไม่ใช่แนวคิดที่แปลกใหม่อะไร แต่นักวิจัยด้านความปลอดภัยจากทั้ง 2 หน่วยงานพบว่าระยะหลังมานี้แฮ็คเกอร์เริ่มใช้เทคนิคดังกล่าวในการแอบแฝงมัลแวร์หรือข้อมูลที่มัลแวร์ใช้ติดต่อกับ C&C Server มากขึ้นกว่าเดิม ยกตัวอย่างภัยคุกคามล่าสุดที่เพิ่งค้นพบเมื่อไม่นานมานี้ คือ Foreign ซึ่งเป็น Tool สำหรับโจมตีแบบ DDoS หลังจากที่แฮ็คเกอร์ประสบความสำเร็จในการติดตั้ง Botnet ลงบนเครื่องของเหยื่อที่จะใช้เป็นเครื่องมือในการยิง DDoS แล้ว Botnet จะติดต่อกับ C&C Server ผ่านทางข้อความที่ซ่อนอยู่ใน HTTP Error Mesage



HTTP Error Mesage หรือก็คือหน้า 404 Page not found มองผ่านๆแล้วจะไม่พบความผิดปกติอะไร แต่ที่จริงแล้วภายในจะประกอบด้วยคำสั่งของ C&C Server ที่ถูก Encode แบบ Base64 แฝงอยู่ใน HTML Comment Tag ซึ่งพร้อมให้ Botnet ดาวน์โหลดไฟล์ตามลิงค์ URL ของแฮ็คเกอร์ ซึ่ง Foreign นับว่าเป็น Tool ล่าสุดที่ใช้อำพรางช่องทางติดต่อระหว่างมัลแวร์กับ C&C Server นอกเหนือจาก Lurk, Gozi และ Stegoloader ที่เคยปรากฏโฉมเมื่อไม่กี่ปีก่อนหน้านี้

ที่มา: https://threatpost.com/attackers-embracing-steganography-to-hide-communication/115394/
ที่มา2: https://www.techtalkthai.com/steganography-has-become-popular/