Люди всегда стремились защитить свои тайны от посторонних глаз и для этого использовали множество различных ухищрений. Одним из них стало сокрытие факта наличия информации при её передаче и хранении.

Впервые приемы сокрытия информации описаны в летописи о греко‑персидских войнах «История» Геродота (V век до н. э.). Сообщение o предстоящем нападении персов на Грецию было нанесено на деревянную подложку восковой дощечки и залито воском, что сделало восковую дощечку с секретным сообщением неотличимой от других пустых заготовок для письма. Для второго способа требовалась обритая голова раба — на неё наносилось сообщение, а когда волосы отрастали, раб отправлялся к адресату, который вновь брил его и читал сообщение. По мнению Геродота именно искусство тайнописи спасло Грецию от порабощения Ксерксом, «царем царей», правителем Персии.

Сокрытие секретной информации в другой, несекретной информации впервые описано в 357 году до н.э. в трактате древнегреческого полководца Энея Тактики «О перенесении осад». В главе «О тайных письмах» был описан так называемый «книжный шифр» — текст секретного сообщения определялся проколотыми в книге или в другом документе малозаметными дырочками над буквами (или под ними). В Первую Мировую немцы усовершенствовали такой способ передачи данных, заменив дырочки точками, наносимыми симпатическими чернилами. И даже сегодня вариации «книжного шифра» можно использовать в обычных текстовых файлах.

Кстати, симпатические (они же невидимые) чернила тоже были известны ещё до н.э. Так, например, китайский император Цин Шихуанди (III век до н.э.) использовал рисовый отвар, а в «Естественной истории» римского учёного Плиния‑старшего (I век до н.э.) для тайнописи приведены рецепты из сока растений семьи молочаев. Невидимые тексты наносились не только на бумагу и её аналоги, но и на ткань, детали одежды, бытовые предметы, скрывая факт наличия секретной информации.

Считается, что термин «стеганография» (от греч. στεγανός [стеганос] «скрытый» + γράφω [графо] «пишу»; дословно ‑ «тайнопись») появился в 1499 году — так был назван рукописный трактат Steganographia (лат.) аббата бенедиктинского монастыря Св. Мартина в Шпонгейме Иоганна Тритемия (1462–1516 гг.), одного из основоположников криптографии. Широкой (по тем временам) аудитории термин стал известен много позже, почти через век после смерти Тритемия — первое издание «Стеганографии» вышло в 1606 г., причем в сильно сокращенном виде (примерно четверть от первоначального объема рукописи). А уже через три года «Стеганография» попала в «Index Librorum Prohibitorum» (Указатель Запрещенных Книг). И несмотря на это, снова была издана в 1610 г. во Франкфурте Матиасом Бекером, да ещё и с пометкой «с благословения и позволения Высших». В общем, история «Стеганографии» полна тайн и загадок, как и сама стеганография.

В наше время несмотря на то, что стеганографических способов и приемов существует бесчисленное множество, стеганография продолжает активно развиваться во всем мире, а стеганографические методы и алгоритмы изучаются и строятся на научной основе.

Но стеганография привлекает не только научных мужей. Любителями стеганографии созданы сотни тематических интернет‑ресурсов и написаны тысячи статей. В них можно найти обзоры стеганографических программ, обсуждение стеганографических методов и конкретных приемов, способов борьбы с ними и много другого. Вот только тема противодействия стеганографии в корпоративных компьютерных сетях с помощью такого инструмента как система предотвращения утечек (DLP, Data Leak Prevention system) освещена слабо.

Стеганография и DLP-системы вчера

Ещё несколько лет назад отношение производителей средств защиты информации к противодействию стеганографии было довольно прохладное, хотя время от времени появлялись соответствующие фичи. Да и теоретическими исследованиями некоторые производители DLP‑систем время от времени тоже занимались. Так, например, ещё в 2017г. в корпоративном блоге InfoWatch на Хабре появилась статья «Методы обнаружения „склеенных“ файлов», которая раскладывает по полочкам технические нюансы выявления так называемых «склеек».

Так почему же стеганография у производителей DLP‑систем была нелюбимой падчерицей? Ответ прост — у вендоров хватало других более важных забот. Во второй половине «первых» годов и в начале «вторых» между вендорами шла упорная битва за перехват каналов, контроль мессенджеров, новые технологии анализа, высокоуровневую аналитику и т. д. И, конечно же, за технологии поведенческого анализа, так как, по мнению Gartner, без UEBA (User and Entity Behavior Analytics, аналитика поведения пользователей, устройств и прогнозирования) далеко не уедешь. В общем, работы хватало, а ресурсы разработки не были безграничны.

Кроме того, реальная опасность стеганографии на тот момент была мизерной. Хотя многие продвинутые айтишники нередко пытались доказать, что с помощью крутых стеганографических методов они обойдут любую DLP‑систему. Но на практике всё было гораздо проще.

В те времена распределение утечек по вине сотрудников выглядело следующим образом: 90% случайных и только 10% умышленных. Случайные утечки возникали нередко из‑за халатности персонала, но чаще всего из‑за низкой компьютерной грамотности сотрудников. А злоумышленники в те времена, в массе своей тоже не блиставшие компьютерными познаниями, «угоняли» информацию с минимальными ухищрениями — переименование файлов, смена расширений, удаление грифов и ограничительных пометок, пересылка в запароленном файле или архиве и т. п. Крайне редко использовалась транслитерация, зато шрифт белого цвета всегда был любимчиком нарушителей, а это ничто иное, как творческое применение симпатических чернил в новой цифровой реальности. Естественно, с такого рода ухищрениями, не говоря о случайных утечках, DLP‑система InfoWatch Traffic Monitor прекрасно справлялась и продолжает справляться.

Продвинутые злоумышленники тоже, как правило, предпочитали не заморачиваться. Типичный пример — резонансная утечка базы данных из ПАО «Сбербанк» в 2019 году, содеянная Сергеем Зелениным, начальником сектора прямых продаж. Преступник «потрудился» совсем немного — выгрузку базы размером в 5,7 Гб сделал архивом, переименовал его в «мундиаль.mp4», из‑за ограничений почтового сервера разбил архив аж на 187 (!) томов, которые скопировал на личный ноутбук. И пошел продавать искать покупателя. Вместо денег за продажу базы Зеленин получил 2 года 10 месяцев колонии‑поселения и иск от «Сбербанка» на 25 млн. руб. Кстати, один из немногих случаев достаточно серьезной ответственности за совершённое.

Была ли у потерпевших DLP‑система, а если и имелась, то была ли она правильно настроена или вообще развернута в корпоративной ИТ‑инфраструктуре и прочие интересные вопросы — это уже совершенно другая история.

Аналогичных уголовных дел десятки, а выявленных нарушений, по разным причинам не дошедших до суда, многие тысячи. И есть сомнения, что в те времена кто‑нибудь из злоумышленников использовал стеганографические методы — зачем искать сложные пути, если есть более простые схемы? Кажущейся простоте также очень способствовал недостаток знаний о DLP‑системах и их возможностях.

А что же крутая стеганография? А с ней, оказывается, все еще проще. В интернете есть множество обзоров стеганографических программ и утилит, с помощью которых можно замаскировать информацию так, что её не выявит даже самая продвинутая DLP‑система. Но беда злоумышленников состоит в том, что такую программу нужно не только найти в интернете, но и установить на свою рабочую станцию.

При нормальной системе ИБ сделать это рядовой пользователь не сможет. С помощью любого решения для мониторинга действий сотрудника можно легко выявить как установку, так и запуск несанкционированного приложения, и заблокировать это приложение, а при необходимости и рабочую станцию.

Но можно дать злоумышленнику возможность поработать, зафиксировать его действия в качестве доказательной базы, а потом… встретить его на КПП с поличным. В общем, на каждого нахального воришку Кирпича у грамотной и активной ИБ‑службы найдутся свои методы.

Почему же так произошло? Потому что изменился профиль случайного нарушителя. За прошедшие годы серьезно выросла компьютерная грамотность сотрудников, в том числе за счет регулярного корпоративного обучения в рамках концепции People Centric Security. Корпоративные правила информационной безопасности ужесточились не только на бумаге — за их выполнение в компаниях стали серьезно спрашивать, за нарушения наказывать, а многие службы ИБ стали работать не только с фактами нарушений, но и с их причинами и предпосылками. Да и DLP‑системы уже давно перестали быть для сотрудников тайной за семью печатями. Результатом всех этих факторов стало существенное снижение количества случайных утечек.

Изменился и профиль злоумышленников, что привело к серьезному росту умышленных утечек по вине сотрудников как в процентном отношении, так и в абсолютных значениях. Не так давно подавляющее большинство злоумышленников было одиночками с простейшими мотивациями — «подзаработать» или уйти на новое место «не с пустыми руками». Появление идеологических мотивов не только пополнило ряды потенциальных злоумышленников, но и расширило вербовочную базу, а также стало причиной активизации немалого числа инициативников.

Разумеется, мимо таких возможностей не могли пройти спецслужбы враждебных государств, террористические группировки, хакеры, вышедшие на тропу войны вместо зарабатывания денег, и даже обычные мошенники, которые активизировались в ранее невиданных количествах. Они готовы скупать здесь и сейчас то, что раньше не имело спроса, обещают золотые горы, а за активные действия даже кисельные берега. Правда, практически никогда не выполняют обещанного, потому что агентура такого уровня для них одноразовый расходный материал…

Какие выводы из этого можно сделать? Подавляющее большинство злоумышленников останутся дилетантами и будут продолжать использовать хорошо известные простейшие приемы. На них вполне хватит «классических» возможностей DLP‑систем.

Но некоторая часть злоумышленников, наиболее активная и хитрая, а в абсолютном исчислении весьма немалая, будет искать новые методы «безопасных сливов». При таком раскладе серьезную опасность могут начать представлять очень простые стеганографические методы и приемы. А в скором будущем стеганография может стать широко используемым инструментом в руках злоумышленников. Проанализировав эту тему, мы со своей стороны приняли решение, что со стеганографией надо бороться в плановом порядке. Для этого мы реализовали в DLP‑системе InfoWatch Traffic Monitor комплекс мер для противодействия стеганографии. И нет сомнений, что и другие вендоры скоро пойдут по нашему пути.

От теории к практике: неприменённые исправления

Как показывает практика, до 30% файлов MS Word уходит за периметр в финальном варианте с неприменёнными исправлениями. Типичный пример: берется действующий договор продажи и из него делается шаблон. А в неприменённых исправлениях можно встретить и персональные данные покупателя‑»физика», и реквизиты юрлица, и специальные цены, и конкретные скидки, и особые условия поставки / возврата.

Но обычно такие утечки — это следствие халатности и некомпетентности исполнителя. Потому что авторы документа забывают нажать кнопку «Принять все исправления», а иногда даже не знают о существовании такой. О последствиях тоже никто не задумывается или не представляет их.

А ведь такой возможностью могут воспользоваться и злоумышленники, так как это просто и удобно — удаляется текст с конфиденциальной информацией, «сверху» набрасывается безобидный текст и отправляется за периметр без принятия исправлений. Напоминает древний способ с восковыми дощечками?

Но это не всё — ещё есть комментарии во всех типах файлов MS Office, текст в подстрочниках слайдов и пр. Классика жанра: владелец компании, рвавшийся на рынок одной из стран далекого зарубежья, дал в комментариях указания юристу переделать договор, потому что он «знает, как кинуть этих козлов». «Козлы» получили проект договора с неудаленными комментариями, обиделись и до сих пор с владельцем этой компании не хотят иметь никаких дел. А уж что сотрудники пишут в комментариях к слайдам презентаций! Ну, чтобы ничего не забыть и лишнего не сказать.

Поэтому DLP‑система должна уметь извлекать для анализа любые тексты из самых потаенных уголков. И при необходимости блокировать отправку конфиденциальной информации. В InfoWatch Traffic Monitor эти возможности уже давно реализованы, причем система не только определяет наличие неприменённых исправлений, но и извлекает их для анализа. Неудаленные комментарии она тоже умеет извлекать и анализировать.

Кстати, обучая персонал применять исправления и удалять комментарии (естественно, когда это необходимо делать), можно порекомендовать использовать халатность контрагентов, то есть просматривать их неприменённые исправления и неудаленные комментарии. Можно узнать много интересного и полезного.

Инъекция файла (информации) в структуру файлов MS Office

Файлы MS Office имеют сложную многоуровневую структуру, которая не видна пользователю при открытии файла «своим» приложением. Но если, к примеру, файл.docx переименовать в.zip и открыть его архиватором, то структура файла.docx станет доступной как папка с многоуровневыми вложениями папок и файлов.

В эту структуру можно сделать инъекцию файла, причем разных форматов, а затем восстановить файл.docx. Конечно же, есть некоторые нюансы, но данная статья не является готовой инструкцией для злоумышленников. Размер файла немного разбухнет, но при открытии.docx в Word, «лишний» в структуре файл ничего не ломает.

Скрытую «инъекцию» информации злоумышленник может сделать и другим способом — используя внешний источник данных (например, внешний файл). В Excel таким образом с помощью функции ВПР (Vlookup) создаются сводные таблицы, в которых можно скрывать выбранные поля. При потере связи с внешним источником — например, при пересылке файла со сводной таблицей, — информацию из скрытых полей всё равно можно прочесть, так как необходимое содержимое внешнего файла включается в структуру.xlsx в виде дополнительного внутреннего.xml файла, который сохраняется в структуре.xlsx до обновления данных.

Также злоумышленник может попытаться спрятать конфиденциальную информацию внутри xml‑файла в техническом поле CDATA. Из этого поля XML‑парсеры обычно не извлекают данные, ограничиваясь только информационной частью xml‑файла. Но данный способ требует от злоумышленника некоторых технических познаний и запуска соответствующего редактора.

В общем, файлы MS Office — это эльдорадо для стеганографии и вкусная морковка для злоумышленников. Потому что просто, удобно и кажется, что незаметно. Приведенные выше примеры — не плоды теоретических раздумий, а практика с полей и реальные инциденты, выявлявшиеся InfoWatch Traffic Monitor. Причем, это далеко не все возможности этой DLP‑системы по противодействию стеганографии в файлах MS Office.

Склейка файлов

«Склейка» файлов известна давно (см. статью «Методы обнаружения „склеенных“ файлов»), но на сегодняшний день «склейка» большинством DLP‑систем не выявляется. Она успешно проходит проверку на соответствие расширения файла его сигнатуре, не требует установки и запуска специализированных приложений и может быть создана сотрудником с минимальными познаниями в IT.

Подготовка и «склейка» файлов, конечно же, имеет свои нюансы, которые здесь не рассматриваются по вполне понятным причинам. Но если эти нюансы известны злоумышленнику, то такое ухищрение может стать весьма опасным инструментом в его руках. Потому что при всей своей простоте она позволяет замаскировать огромные объемы конфиденциальной информации.

В демонстрационном кейсе InfoWatch, «склейка» графического файла с текстовым файлом имеет размер 243 КБ. Просмотр «склейки» как файла.jpg покажет фотографию очаровательного котёнка, отправкой которого можно порадовать друзей‑знакомых.

Ситуация была бы совершенно обыденной и безобидной, если бы вместе с милым котёнком не уходил бы скрытый текстовый файл размером 1,2 Мб. В пересчете на страницы Word это 670 страниц текста и 96 тысяч слов (!), что соответствует размеру внушительной базы данных.

Но просто выявить факт «склейки» файлов недостаточно, поэтому Traffic Monitor извлекает из «склейки» скрытый файл и проверяет его на наличие конфиденциальной информации, тем самым экономя время и усилия офицеров безопасности.

Злоумышленники могут попытаться усилить маскировку выводимой информации — например, пересылать «склейку» среди массива отпускных фотографий или фотографий с корпоративных мероприятий. Могут также пересылать «склейки» файлов чужими руками. Или использовать для «склейки» поздравительные открытки, а также логотипы контрагента в переписке с ним, передавая хоть и меньшие, чем в нашем демонстрационном кейсе, но тоже весьма немалые объемы информации.

Но любые попытки вывода конфиденциальной информации описанными способами будут выявлены и пресечены InfoWatch Traffic Monitor.

Некоторые выводы

Из вышесказанного следует, что стеганография может быть гораздо проще и при этом опаснее, чем принято считать. Во‑первых, из‑за простых и доступных любому злоумышленнику способов сокрытия информации. Во‑вторых, простые способы детектирования во многих случаях не работают — например, вышеперечисленные ухищрения не могут быть выявлены анализом сигнатур файлов, в которых спрятана информация. В‑третьих, самые продвинутые способы анализа информации будут бесполезны, если нет соответствующих экстракторов для обнаружения и извлечения спрятанной информации.

Поэтому DLP‑системы, не умеющие противодействовать хотя бы простым способам стеганографии, могут в полночь уже в ближайшее время превратиться из роскошных карет в обычные тыквы. Потому что для DLP‑систем первична защита информации!

А службам ИБ можно рекомендовать обращать пристальное внимание на входящие сообщения с прикрепленными файлами и логотипами. В них злоумышленники могут поселить вредоноса, который далеко не всегда обнаруживается антивирусами. Тем более, что такие методы атак корпоративных ИТ‑инфраструктур не являются чем‑то новым.

Так, например, уже подзабыты письма из налоговой, которые открывались бухгалтерами, а затем почему‑то все файлы в корпоративной системе оказывались зашифрованными. Или широко известная в узких кругах история с логотипом Windows, в котором хакеры спрятали вредоносное ПО с помощью стеганографии. А уж про поздравительные открытки с вредоносами в мессенджерах не знают, наверное, только не умеющие читать.

Но если раньше основная цель злоумышленников была в монетизации атаки, то теперь во многих случаях целью является уничтожение атакуемой ИТ‑инфраструктуры.

Нет сомнений, что злоумышленники будут искать и пробовать всё новые способы ухищрений. Но и мы не стоим на месте, а продолжаем развивать и наращивать возможности нашей DLP‑линейки. Которые, к примеру, могут выявлять не только попытку хищения информации, но и подготовку к ней. Но это уже совсем другая история.

Эликс Смирнов

Ведущий кейс‑аналитик ГК InfoWatch