이번에 스테가노그래피(Steganography) 관련해서 이야기 해보고자 합니다.

사전적인 의미는 "메시지가 전송되고 있다는 사실을 숨기는 기술. 내용을 숨기기 위해 은닉 채널이나 보이지 않는 잉크를 사용하는 것과 매우 유사한 기술로 이미지 및 오디오 파일과 같은 다양한 디지털 매체를 통해 메시지를 숨겨 전송하는 것을 말한다" 라고 정의가 되어 있습니다. [두산동아]

최근 zip, rar 같은 아키이브 파일 포맷에 악성코드를 숨기는 것이 가능하다는 것을 유명 정보보안 컨퍼런스인 
Black Hat EU 2010에서
RLPack을 만든
Tomislav Pericin 및 보안전문가인 Mario Vuksan과 Brian Karney
가 함께 시연을 하였습니다.

이 취약성은 공격자가 숨겨진 악성 프로그램으로 이메일 첨부파일을 통해 백신 소프트웨어에게 들키지 않고
빠져나가 컴퓨터를 손상하는 데 사용될 수 있다고 합니다.

또한, 그것은 신뢰할 수있는 포맷이기 때문에 이 파일은 Gmail이나 Hotmail로 빠져 나간다"라고 덧붙였으며 백신 소프트웨어는 숨겨진 페이로드를 볼 수 없고 일단 파일이 페이로드(또는 맬웨어) 시스템에 열린다고 합니다.

이에 Pericin은
아카이브 데이터에 대한 검색에 체크를 해제되도록 NyxEngine를 설계를 했으며 해당 프로그램은
아카이브의 이진 콘텐츠 가능한 취약점과 손상을 식별하는 데이터 상세한 검사를 수행한다고 합니다. 

마지막으로 NyxEngine 프로그램을 한번 살펴보겠습니다.

- Nyxengin 소개 및 동영상

- Nyxengin Download

- NyxEngine이 아키이브 영역에서 체크사항
   1. 저장된 파일 이름의 길이 및 내용
알고리즘의 요구 사항을 추출
체크섬 조작, 다중 디스크 변조
   5. 파일 항목의 중복 및 기타 기타 헤더 데이터를 체크

- NyxEngine 사용예

c:> NyxConsole.exe sf NOTEPAD.rar

 -- NyxConsole 1.0 from ReversingLabs Corporation --

Usage NyxConsole [sf|sfi|vf|rf] InputArchive.ext

[x] Detected archive: RAR
 [x] Total number of disks: 0000
 [x] Current disk number: 0000
 [x] Total number of files: 00000000
 [x] Number of files in current disk: 00000000
  [+] File 0000: NyxError_FileNameContainsUnprintableCharacters.000
      Compressed size: 000081E0
      Uncompressed size: 00010800
      File starts on disk: 0000
      Checksum: 0xc94255e6
      File is password protected!
      [!] Detected steganography:
          Steganography ID: 0x000003
           Description: Possible steganography due to file name containing unprintable characters!
           Rich Description: Documented steganography report filed under ReversingLabs advisory RLC_VSA_001_ZIP

c:> NyxConsole.exe vf NOTEPAD.rar

 -- NyxConsole 1.0 from ReversingLabs Corporation --

Usage NyxConsole [sf|sfi|vf|rf] InputArchive.ext

[x] Detected archive: RAR
  [x] File is a valid archive!

c:> NyxConsole.exe rf NOTEPAD.rar

 -- NyxConsole 1.0 from ReversingLabs Corporation --

Usage NyxConsole [sf|sfi|vf|rf] InputArchive.ext

[x] Detected archive: RAR

[출처 및 참고자료]
- Researchers warn of malware hidden in .zip files (CNET News)

- BlackHat Europe 2010 whitepaper Download

- BlackHat Europe 2010 presentation Download


