이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:



안녕하세요~, CrefunX입니다.
월드컵 열기와 함께 잘 보내고 계신가요^^?

이번에 스테가노그래피(Steganography) 관련해서 이야기 해보고자 합니다.

사전적인 의미는 "메시지가 전송되고 있다는 사실을 숨기는 기술. 내용을 숨기기 위해 은닉 채널이나 보이지 않는 잉크를 사용하는 것과 매우 유사한 기술로 이미지 및 오디오 파일과 같은 다양한 디지털 매체를 통해 메시지를 숨겨 전송하는 것을 말한다" 라고 정의가 되어 있습니다. [두산동아]

최근 zip, rar 같은 아키이브 파일 포맷에 악성코드를 숨기는 것이 가능하다는 것을 유명 정보보안 컨퍼런스인 
Black Hat EU 2010에서
RLPack을 만든
Tomislav Pericin 및 보안전문가인 Mario Vuksan과 Brian Karney
가 함께 시연을 하였습니다.


이 취약성은 공격자가 숨겨진 악성 프로그램으로 이메일 첨부파일을 통해 백신 소프트웨어에게 들키지 않고
빠져나가 컴퓨터를 손상하는 데 사용될 수 있다고 합니다.

또한, 그것은 신뢰할 수있는 포맷이기 때문에 이 파일은 Gmail이나 Hotmail로 빠져 나간다"라고 덧붙였으며 백신 소프트웨어는 숨겨진 페이로드를 볼 수 없고 일단 파일이 페이로드(또는 맬웨어) 시스템에 열린다고 합니다.

이에 Pericin은
아카이브 데이터에 대한 검색에 체크를 해제되도록 NyxEngine를 설계를 했으며 해당 프로그램은
아카이브의 이진 콘텐츠 가능한 취약점과 손상을 식별하는 데이터 상세한 검사를 수행한다고 합니다. 

마지막으로 NyxEngine 프로그램을 한번 살펴보겠습니다.

- Nyxengin 소개 및 동영상
 
http://blog.reversinglabs.com/2010/04/introducing-nyxengine/

- Nyxengin Download
  
http://www.reversinglabs.com/download/NyxEngine.rar

- NyxEngine이 아키이브 영역에서 체크사항
   1. 저장된 파일 이름의 길이 및 내용
   2.
압축률
   3.
알고리즘의 요구 사항을 추출
   4.
체크섬 조작, 다중 디스크 변조
   5. 파일 항목의 중복 및 기타 기타 헤더 데이터를 체크


- NyxEngine 사용예


c:> NyxConsole.exe sf NOTEPAD.rar

 -- NyxConsole 1.0 from ReversingLabs Corporation --
   
www.reversinglabs.com

Usage NyxConsole [sf|sfi|vf|rf] InputArchive.ext

[x] Detected archive: RAR
 [x] Total number of disks: 0000
 [x] Current disk number: 0000
 [x] Total number of files: 00000000
 [x] Number of files in current disk: 00000000
  [+] File 0000: NyxError_FileNameContainsUnprintableCharacters.000
      Compressed size: 000081E0
      Uncompressed size: 00010800
      File starts on disk: 0000
      Checksum: 0xc94255e6
      File is password protected!
      [!] Detected steganography:
          Steganography ID: 0x000003
           Description: Possible steganography due to file name containing unprintable characters!
           Rich Description: Documented steganography report filed under ReversingLabs advisory RLC_VSA_001_ZIP


c:> NyxConsole.exe sfi NOTEPAD.rar

 -- NyxConsole 1.0 from ReversingLabs Corporation --
   
www.reversinglabs.com

Usage NyxConsole [sf|sfi|vf|rf] InputArchive.ext

[x] Detected archive: RAR
 [x] Total number of disks: 0000
 [x] Current disk number: 0000
 [x] Total number of files: 00000000
 [x] Number of files in current disk: 00000000
  [+] File 0000: NyxError_FileNameContainsUnprintableCharacters.000
      Compressed size: 000081E0
      Uncompressed size: 00010800
      File starts on disk: 0000
      Checksum: 0xc94255e6
      File is password protected!
      [!] Detected steganography:
          Steganography ID: 0x000003
           Description: Possible steganography due to file name containing unprintable characters!
           Rich Description: Documented steganography report filed under ReversingLabs advisory RLC_VSA_001_ZIP


c:> NyxConsole.exe vf NOTEPAD.rar

 -- NyxConsole 1.0 from ReversingLabs Corporation --
   
www.reversinglabs.com

Usage NyxConsole [sf|sfi|vf|rf] InputArchive.ext

[x] Detected archive: RAR
  [x] File is a valid archive!


c:> NyxConsole.exe rf NOTEPAD.rar

 -- NyxConsole 1.0 from ReversingLabs Corporation --
   
www.reversinglabs.com

Usage NyxConsole [sf|sfi|vf|rf] InputArchive.ext

[x] Detected archive: RAR


[출처 및 참고자료]
- Researchers warn of malware hidden in .zip files (CNET News)
  
http://news.cnet.com/8301-1009_3-20002542-83.html?tag=nl.e757

- BlackHat Europe 2010 whitepaper Download
  
http://www.reversinglabs.com/blackhat/NyxEngine_BlackHat-EU-10-Whitepaper.pdf

- BlackHat Europe 2010 presentation Download
  
http://www.reversinglabs.com/blackhat/NyxEngine_BlackHat-EU-10-Slides.pdf


****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 알 수 없는 사용자
,