Stegomalware

From Wikipedia, the free encyclopedia

Un stégomalware est un logiciel malveillant qui utilise des techniques de stéganographie pour dissimuler son code, ses données de configuration ou ses communications de commande et de contrôle (C&C) au sein de supports numériques apparemment bénins tels que des images, des fichiers audio, des vidéos, des documents ou du trafic réseau[1]. Il intègre généralement des charges utiles cryptées ou obfusquées dans des supports numériques et ne les extrait et ne les exécute qu'au moment de l'exécution, ce qui rend la détection traditionnelle basée sur les signatures et sur les environnements sandbox beaucoup plus difficile[2]. Les stégomalwares ont été observés dans des attaques allant des menaces persistantes avancées (APT) à la cybercriminalité à motivation financière, et font désormais l'objet d'études universitaires dédiées, de projets de recherche et d'initiatives internationales de maintien de l'ordre[3],[1].

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Cet article contient une ou plusieurs listes ().

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La mise en forme de cet article est à améliorer ().

La principale différence entre les logiciels malveillants stégotiques et les logiciels malveillants obfusqués traditionnels réside dans l'emplacement de l'encodage. Après obfuscation, le code malveillant reste présent dans l'exécutable et peut théoriquement être détecté par analyse statique. À l'inverse, les logiciels malveillants stégotiques dissimulent entièrement la charge utile dans un support de couverture (image, audio, etc.), la rendant invisible jusqu'à ce que le logiciel malveillant l'extrait et l'exécute dynamiquement lors de son exécution[4].

Histoire

Le terme stégomalware a été officiellement introduit par les chercheurs Águila, Laskov et d'autres dans le contexte des logiciels malveillants mobiles et présenté à la conférence Inscrypt (Sécurité de l'information et cryptologie) en 2014[4]. Cela a marqué la première formalisation académique du concept, bien que des travaux antérieurs aient déjà identifié que les botnets et les logiciels malveillants mobiles pouvaient utiliser la stéganographie et les canaux cachés pour la communication de commande et de contrôle sur des canaux probabilistiquement inobservables[4].

Depuis son apparition, le stégomalware est passé du statut de préoccupation théorique à celui de menace avérée. En 2011, l'opération APT connue sous le nom d'«Opération Shady RAT» a constitué l'un des premiers cas documentés de stégomalware en conditions réelles, utilisant des images numériques pour dissimuler les adresses IP et les adresses des serveurs de commande et de contrôle[1]. La même année, le logiciel malveillant Duqu (ciblant les fabricants industriels) intégrait les données des victimes dans JPEG avant leur exfiltration, rendant le transfert de données pratiquement indétectable par les outils de sécurité au niveau du réseau des fichiers image[5].

À partir de 2014, les logiciels stéganographiques se sont répandus dans la cybercriminalité organisée et les campagnes de menaces persistantes avancées. Parmi les exemples notables, citons Zeus/Zbot , qui masquait des données de configuration dans des images ; Gatak /Stegoloader, qui dissimulait du code malveillant dans des fichiers PNG ; TeslaCrypt , qui intégrait des commandes de commande et de contrôle dans des fichiers JPEG ; et Cerber , qui dissimulait des rançongiciels dans des images[1]. Dans les années 2010, les logiciels stéganographiques s'étaient imposés comme une technique d'évasion privilégiée pour l'espionnage, le vol financier et les campagnes de distribution de rançongiciels[1].

Des études récentes (2020-2025) montrent que les logiciels malveillants stégo sont de plus en plus exploités par des adversaires ciblant les banques, les entreprises, les agences gouvernementales, les établissements d'enseignement et les utilisateurs d'Internet via des campagnes de malvertising[1]. Cette technique est désormais considérée comme une méthode d'attaque sophistiquée qui mérite l'attention soutenue des autorités internationales chargées de l'application de la loi[3].

Caractéristiques techniques et définitions

Les logiciels stégomalware fonctionnent selon une architecture à trois composants[4] :

  • Stegotexte (R) : Un actif numérique d'apparence innocente (image, fichier audio, etc.) dans lequel la charge utile malveillante est intégrée.
  • Clé secrète (sk) : Une clé utilisée par les algorithmes d'intégration et d'extraction, généralement codée en dur dans le logiciel malveillant.
  • Payload (p) : Le code malveillant proprement dit, les données de configuration ou les commandes C&C cachées dans le stégotexte.

Le logiciel malveillant extrait la charge utile lors de l'exécution à l'aide de la clé secrète et l'exécute directement ou l'utilise pour télécharger des étapes supplémentaires de l'attaque[4].

Les stégomalwares peuvent être classés en plusieurs types en fonction de leur méthode de déploiement[4] :

  • Type 0 (Autonome) : Le stéganographie et l’algorithme d’extraction sont intégrés à l’application malveillante. La charge utile malveillante est extraite et exécutée localement, sans communication externe.
  • Type I (Mise à jour) : Le stéganographie et la clé secrète sont téléchargés depuis un serveur distant lors de l’exécution ; seul l’algorithme d’extraction est inclus dans le logiciel malveillant. Cette variante est plus flexible, permettant aux attaquants de déployer des charges utiles mises à jour.
  • Type II (Algorithme externe) : Ni le stégotexte ni l'algorithme d'extraction ne sont distribués avec le logiciel malveillant ; les deux sont récupérés à partir d'une infrastructure contrôlée par l'attaquant, offrant une flexibilité et une évasion maximales.

Techniques de stéganographie

Methodes du domaine spatial

Les logiciels stéganographiques utilisent principalement des méthodes stéganographiques conçues pour les images, car celles-ci constituent le support de dissimulation le plus courant[1]. La technique la plus élémentaire dans le domaine spatial est la substitution par bits de poids faible (LSB), qui remplace les bits de poids faible des valeurs de couleur des pixels par des bits utiles. Simple et facile à mettre en œuvre, la substitution LSB est également relativement facile à détecter par analyse statistique[1].

Les techniques spatiales plus sophistiquées comprennent[1] :

  • HUGO (High Undetectable steGO) (2010) : Minimise la distorsion détectable en répartissant la charge utile sur plusieurs pixels, atteignant une capacité d'intégration avec une empreinte statistique réduite.
  • WOW (Wavelet Obtained Weights) (2012) : Intègre les données de préférence dans les régions texturées des images où les modifications sont moins perceptibles.
  • UNIWARD (Universal Wavelet Relative Distortion) (2014) : Utilise une fonction de distorsion universelle applicable à de multiples formats d'image, équilibrant la capacité de charge utile avec l'indétectabilité.
  • HILL (2014) : Applique des filtres passe-haut et passe-bas pour identifier des régions d'intégration robustes.
  • MiPOD (Minimizing the Power of Optimal Detector) (2016) : Conçu pour minimiser la puissance des détecteurs de stéganalyse optimaux théoriques.

Méthodes de transformation du domaine

Les techniques de transformation du domaine convertissent les images dans le domaine fréquentiel (par exemple, en utilisant la DCT ou la DWT ) avant l'intégration, permettant un masquage plus robuste dans le JPEG et d'autres formats compressés[1] :

  • Intégration dans les coefficients DCT (utilisés dans la compression JPEG)
  • Intégration dans les coefficients DWT (utilisés dans les formats sans perte)
  • Les techniques d'étalement de spectre répartissent la charge utile sur plusieurs composantes de fréquence.

Les méthodes du domaine transformé sont généralement plus résistantes au bruit, à la compression et aux transformations d'image que les méthodes spatiales[1].

Méthodes de réseaux antagonistes génératifs (GAN)

Les progrès récents en matière d'apprentissage automatique ont introduit la stéganographie basée sur les GAN, où un modèle génératif produit des images stéganographiques qui minimisent les artefacts détectables :

  • SGAN (GAN stéganographique) (2017) : Premier GAN appliqué à la stéganographie, utilisant un générateur, un discriminateur et un réseau de stéganalyse.
  • ASDL-GAN (2017) : Effectue un apprentissage automatique de la distorsion stéganographique au niveau du pixel.
  • SteganoGAN (2019) : Améliore les modèles GAN précédents, atteignant une capacité d'intégration et une robustesse supérieures.
  • HiGAN (Hiding Images GAN) (2020) : Permet de cacher une image dans une autre tout en maintenant la plausibilité visuelle.

Les approches basées sur les GAN sont plus résistantes aux attaques de stéganalyse standard, mais restent une menace émergente nécessitant des recherches supplémentaires.

Campagnes de logiciels malveillants notables

Le stégomalware a été documenté dans de nombreuses cyberattaques et campagnes de grande envergure[1]. Parmi les exemples notables, citons :

  • Opération Shady RAT (2011) : Utilisation d'images numériques pour dissimuler les adresses des serveurs de commande et de contrôle dans le cadre d'opérations d'espionnage ciblées.
  • Duqu (2011) : Intégration de données de victimes dans des fichiers JPEG pour exfiltrer des informations de systèmes de contrôle industriels.
  • Zeus/Zbot (2014) : Données de configuration bancaire masquées dans des fichiers JPEG exploitées via la malvertising.
  • Gatak/Stegoloader (2015) : Shellcode caché dans des fichiers PNG pour des attaques de licences logicielles et l'exécution de commandes de bots.
  • TeslaCrypt (2015) : Commandes C&C et clés de ransomware intégrées dans des images JPEG.
  • Cerber (2016) : Code de ransomware exécutable dissimulé dans des fichiers JPEG distribués par hameçonnage.
  • DNSChanger (2016) : Code malveillant intégré dans des fichiers PNG pour des campagnes de détournement DNS.
  • Kit d'exploitation Sundown (2017) : Code d'exploitation distribué dans des fichiers PNG via de la publicité malveillante.
  • AdGholas (2017) : a utilisé la stéganographie JPEG pour distribuer des ransomwares via des publicités malveillantes.
  • Synccrypt (2017) : Composants de ransomware cachés dans des archives chiffrées par stéganographie JPEG.
  • ZeroT/PlugX (2017) : Charges utiles de chevaux de Troie d'accès à distance cachées dans des fichiers BMP à des fins d'espionnage.
  • Loki Bot (2018) : Installateurs de logiciels malveillants dissimulés dans des fichiers JPEG et vidéo.
  • Waterbug (APT28) (2019) : a injecté des DLL malveillantes dans des fichiers audio WAV.
  • Shlayer (logiciel publicitaire macOS) (2019) : Cachait des URL malveillantes dans des fichiers JPEG via du malvertising.

vecteurs d'attaque

Les vecteurs d'attaque les plus courants pour les stégomalwares sont les suivants[1] :

  • Courriels d'hameçonnage contenant des pièces jointes ou des liens malveillants
  • Campagnes de malvertising utilisant des bannières publicitaires malveillantes
  • Exploiter des kits via des sites web compromis ou malveillants
  • Vulnérabilités légitimes des applications (par exemple, attaques par point d'eau)
  • Distribution de logiciels contrefaits (logiciels piratés, outils de génération de clés)

Étapes d'exploitation

Les stégomalwares jouent généralement un ou plusieurs rôles dans les cycles de vie des attaques[1] :

  • Livraison de la charge utile : les images Stego contiennent du code exécutable complet ou du shellcode.
  • Communication C&C : Les données cachées contiennent des adresses de serveur ou des instructions de commande.
  • Exfiltration de données : Données volées encodées dans des images pour échapper à l'inspection du réseau.
  • Mécanisme de mise à jour : Les nouvelles versions du logiciel malveillant sont distribuées via stégomalware.

Outils de création de stégomalware

Divers outils de stéganographie disponibles publiquement peuvent être réutilisés pour la création de logiciels malveillants stéganographiques :

  • Steghide (2003) : Logiciel libre ; basé sur LSB ; compatible avec les formats JPEG, BMP, WAV et AU
  • OpenPuff (2004) : basé sur Java ; prise en charge de plusieurs formats (BMP, JPEG, GIF, PNG, vidéo)
  • Xiao (2006) : Interface graphique Windows simple ; intégration LSB basique dans BMP et WAV
  • OpenStego (2015) : Logiciel libre ; interface conviviale ; compatible avec de nombreux formats
  • StegExpose : Outil de détection ; analyse statistique pour la recherche de données intégrées
  • Binwalk : Analyse de firmware et extraction de données ; utile pour les enquêtes numériques
  • Aperi'Solve : Outil de stéganalyse en ligne combinant plusieurs méthodes de détection

Les algorithmes avancés tels que UNIWARD, HILL, WOW et MiPOD nécessitent une implémentation à partir d'articles de recherche plutôt que d'outils prêts à l'emploi.

Détection et stéganalyse

La détection des stégomalwares est complexe car les modifications sont conçues pour être statistiquement invisibles. Les solutions antivirus traditionnelles peinent à les détecter car elles analysent principalement les fichiers exécutables et le trafic réseau, et non les contenus multimédias intégrés.

Méthodes de stéganalyse

La stéganalyse englobe plusieurs approches de détection :

  • Stéganalyse visuelle : Inspection humaine pour détecter les anomalies (rarement efficace avec les techniques modernes)
  • Stéganalyse statistique : Analyse des distributions de pixels et des histogrammes
  • Stéganalyse basée sur les signatures : correspondance avec des signatures ou des modèles d’outils connus
  • Stéganalyse de modèles riches : Extraction de caractéristiques spécifiques au domaine avec des classificateurs d'ensemble
  • Stéganalyse basée sur l'apprentissage profond : réseaux neuronaux convolutifs pour distinguer les images naturelles des images stéganographiques
  • Stéganalyse universelle (aveugle) : Détection à usage général, indépendamment de l’algorithme d’intégration.

performances de détection

Les modèles CNN modernes (SRNet, GBRAS-Net, SFNet) atteignent des précisions de détection de 75 à 85 % par rapport aux algorithmes de stéganographie de pointe à des taux d'intégration typiques. Cependant, les performances se dégradent avec :

  • Taux d'intégration très faibles
  • Entraînement adverse ou stéganographie basée sur les GAN
  • Formats de fichiers mixtes dans les ensembles de données
  • Charges utiles chiffrées

cadres de détection d'entreprise

La détection des stégomalwares à l'échelle de l'entreprise nécessite plusieurs couches de sécurité :

  • Analyse au niveau des fichiers : Recherche de signatures de stéganographie à l’aide d’outils tels que StegExpose ou binwalk
  • Analyse dynamique du comportement : Utilisation de sandboxes pour observer l’extraction et l’exécution de la charge utile
  • Surveillance du réseau : Détection de schémas suspects dans le trafic indiquant une exfiltration
  • Modèles d'apprentissage automatique : Déploiement de classificateurs entraînés pour identifier les images stéganographiques

Des cadres de détection ont été proposés pour les centres de données, le cloud (AWS, Azure) et les environnements multicloud.

Initiatives internationales de répression et de recherche

Initiative sur l'utilisation criminelle de la dissimulation d'informations (CUIng)

L’ initiative Criminal Use of Information Hiding (CUIng) a été créée en juin 2016 par le Centre européen de lutte contre la cybercriminalité d’Europol (EC3), des institutions universitaires et des partenaires industriels. CUIng rassemble plus de 90 membres issus de 30 pays, dont Bank of Ireland, Vodafone et Trend Micro.

Les objectifs de CUIng comprennent :

  • Sensibiliser les forces de l'ordre et le public aux menaces liées à la stéganographie
  • Partage de renseignements sur les menaces liées à l'utilisation abusive de la dissimulation d'informations
  • Suivi des techniques stéganographiques émergentes dans la cybercriminalité
  • Formation des professionnels des forces de l'ordre et de la médecine légale
  • Soutien aux enquêtes impliquant la stéganographie

L'évaluation des menaces de CUIng a identifié la stéganographie dans divers crimes, notamment le matériel pédopornographique (CSAM), l'espionnage industriel, les cyberattaques d'entreprise, la fraude à la carte de crédit et l'injection de portes dérobées.

Projet SIMARGL

Le projet SIMARGL (Secure Intelligent Methods for Advanced RecoGnition of malware and stegomalware), financé par Horizon 2020, a développé une plateforme intégrée pour la détection des logiciels malveillants traditionnels et des stégomalwares dans les environnements de production[6]. Le projet a permis de créer des modèles d'apprentissage automatique pour identifier les images malveillantes dans le trafic réseau réel et le stockage des terminaux.

Projet DÉVOILER

Le projet UNCOVER (2021-2024), une action Horizon 2020 financée par l'UE, a développé un cadre de stéganalyse complet pour les organismes d'application de la loi et les instituts médico-légaux[7]. UNCOVER intégré[7] :

  • Analyse et catalogage des outils stéganographiques existants
  • Développement et validation de détecteurs de stéganalyse de pointe
  • Création d'une plateforme en ligne unifiée pour l'analyse médico-légale
  • Validation sur le terrain avec des cas d'utilisation des forces de l'ordre
  • Formation et renforcement des capacités des agences et des instituts
  • Cadres juridiques régissant la recevabilité des actions en justice dans les juridictions européennes

UNCOVER a démontré que la stéganalyse opérationnelle s'améliore avec les métadonnées ou les informations partielles sur les médias originaux, comme la stéganalyse JPEG utilisant des vignettes de couverture divulguées[7].

Défis de la recherche et orientations futures

Malgré les progrès réalisés en matière de détection, plusieurs défis importants subsistent :

  • Ensembles de données publics limités : Seul l'ensemble de données propriétaire MalJPEG (157 000 échantillons) existe ; inaccessible aux chercheurs.
  • Absence d'évaluation de la charge utile réelle : La plupart des recherches utilisent des images stéganographiques génériques, et non de véritables images intégrant des logiciels malveillants.
  • Robustesse face aux attaques adverses : Les attaquants utilisent l'entraînement adverse et les GAN pour contourner les détecteurs.
  • Détection multiformat : les méthodes se spécialisent dans des formats uniques (JPEG) et ont du mal avec les ensembles de données mixtes.
  • Stéganographie audio/vidéo : Recherches limitées sur la détection de la stéganographie dans les fichiers WAV, MP3 et vidéo.
  • Stégomalware dans les réseaux neuronaux : menace émergente d'intégration de charges utiles dans les poids des modèles d'apprentissage profond pré-entraînés.
  • Passage à l'échelle en entreprise : Le déploiement à grande échelle introduit des défis en matière de calcul et de faux positifs.
  • Techniques émergentes : La stéganographie novatrice basée sur les GAN et prenant en compte le contexte pourrait surpasser la détection.

Les priorités de recherche futures comprennent :

  • Développement d'ensembles de données et de bancs d'essai publics pour les logiciels stégomalware
  • Évaluation des détecteurs face à des charges utiles de logiciels malveillants réels
  • Méthodes de stéganalyse inter-domaines et inter-formats
  • Intégration de la cryptanalyse à la détection stéganographique
  • Harmonisation des cadres juridiques pour les enquêtes transfrontalières

Impact et importance

Le stégomalware représente une évolution sophistiquée dans la conception des logiciels malveillants. Contrairement à l'obfuscation traditionnelle, qui laisse le code accessible à l'analyse statique, le stégomalware dissimule entièrement les charges utiles dans un support de couverture jusqu'à son exécution, rendant ainsi l'analyse statique impossible.

L'augmentation documentée des attaques de stégomalware dans le monde réel — des menaces persistantes avancées à la cybercriminalité financière — témoigne d'une progression active de la menace. L'attention portée à ce sujet par les forces de l'ordre internationales et le monde universitaire (CUIng, SIMARGL, UNCOVER) reflète la reconnaissance du fait que le stégomalware représente un défi majeur en matière de sécurité pour les entreprises, les gouvernements et les utilisateurs.

Malgré les progrès de la stéganalyse, les taux de détection restent insuffisants en environnement de production, et les techniques d'évasion des attaquants continuent de s'améliorer. À mesure que les outils de stéganographie deviennent plus accessibles et sophistiqués, les logiciels malveillants de type stégode sont susceptibles de devenir de plus en plus fréquents dans les cyberattaques sophistiquées.

Références

Liens externes

Related Articles

Wikiwand AI