Overslaan naar hoofdinhoud

Steganografie, het verbergen van informatie, bestaat al eeuwenlang. De laatste tijd wordt het geassocieerd met bepaalde vormen van cyberaanvallen. Lees verder voor meer informatie en voorbeelden van steganografie, de verschillende soorten en de rol ervan in cyberbeveiliging.

Wat is steganografie?

Steganografie is het verbergen van informatie in een bericht of fysiek object om te voorkomen dat het wordt gedetecteerd. Het wordt gebruikt om vrijwel elk type digitale inhoud te verbergen, zoals tekst, afbeeldingen, video en audio. Deze verborgen gegevens worden dan op de plaats van bestemming uitgepakt.

De inhoud die via steganografie wordt verborgen, wordt soms gecodeerd voordat het in een ander bestandsformaat wordt verstopt. Als het niet gecodeerd is, kan het op een bepaalde manier verwerkt zijn zodat het moeilijker te detecteren is.

Steganografie wordt soms vergeleken met cryptografie, omdat het een vorm is van geheime communicatie. Ze zijn echter niet hetzelfde, aangezien bij steganografie geen gegevens onleesbaar worden gemaakt of bij ontvangst geen sleutel wordt gebruikt om ze te decoderen.

De term 'steganografie' komt van de Griekse woorden 'steganos', dat 'verborgen' of 'bedekt' betekent, en 'graphein', dat 'schrijven' betekent. Steganografie wordt al duizenden jaren in verschillende vormen toegepast om communicatie geheim te houden. In het oude Griekenland kerfde men bijvoorbeeld boodschappen op hout en gebruikte vervolgens was om deze te verbergen. De Romeinen gebruikten verschillende vormen van onzichtbare inkt, die kon worden onthuld wanneer deze werd verwarmd of verlicht.

Steganografie is voor cyberbeveiliging van belang, omdat ransomware-bendes en andere dreigingsactoren vaak informatie verbergen als zij een doelwit aanvallen. Ze kunnen bijvoorbeeld gegevens of een kwaadaardige tool verbergen of instructies versturen voor command-en-control-servers. Ze kunnen al deze informatie in afbeeldings-, video-, geluids- of tekstbestanden plaatsen die op het eerste gezicht onschuldig lijken.

Hoe werkt steganografie

Steganografie houdt in dat informatie zo wordt verborgen dat deze niet kan worden gedetecteerd. Een van de meest gebruikte technieken wordt de 'minst significante bit'-steganografie (LSB) genoemd. Hierbij wordt de geheime informatie ingesloten in de minst significante bits van een mediabestand. Bijvoorbeeld:

  • Elke pixel in een afbeeldingsbestand bestaat uit drie bytes met de kleuren rood, groen en blauw. Sommige afbeeldingsformaten hebben een extra vierde byte, namelijk transparantie of 'alpha'.
  • LSB-steganografie wijzigt het laatste bit van elk van die bytes om één bit aan gegevens te verbergen. Om op deze manier één megabyte aan gegevens te verbergen, is dus een afbeeldingsbestand van acht megabyte nodig.
  • Het wijzigen van het laatste bit van de pixelwaarde zorgt er niet voor dat de afbeelding zichtbaar verandert. Als je dus het origineel en de door steganografie gewijzigde afbeelding naast elkaar bekijkt, zie je geen enkel verschil.

Dezelfde werkwijze wordt toegepast op andere digitale media, zoals audio- en videobestanden, waarbij gegevens worden verstopt in de delen van het bestand die de minste verandering van hoorbare of visuele output tot gevolg hebben.

Een andere techniek van steganografie is het vervangen van woorden of letters. Hierbij verbergt de verzender van het geheime bericht de tekst door deze binnen een veel grotere tekst te verstoppen, waarbij de woorden op specifieke plaatsen worden gezet. Deze vervangingsmethode is gemakkelijk, maar kan er ook voor zorgen dat de tekst er vreemd en misplaatst uitziet, omdat de geheime woorden niet logisch in de doelzinnen passen.

Andere methoden van steganografie zijn onder meer het verbergen van een hele partitie op een harde schijf, of het insluiten van gegevens in de koptekstsectie van bestanden en netwerkpakketten. Wat het effect van deze methoden is, hangt af van hoeveel gegevens verborgen kunnen worden en hoe makkelijk ze te detecteren zijn.

Soorten steganografieën

Op digitaal vlak zijn er vijf belangrijke soorten van steganografie. Namelijk:

  1. Tekststeganografie
  2. Afbeeldingsteganografie
  3. Videosteganografie
  4. Audiosteganografie
  5. Netwerksteganografie

Laten we alle aspecten eens nader bekijken:

Tekststeganografie

Bij tekststeganografie wordt alle informatie verborgen in tekstbestanden. Het gaat onder meer om het wijzigen van het formaat van bestaande tekst, het veranderen van woorden binnen de tekst, het gebruik van contextvrije grammatica's om leesbare teksten te maken of het genereren van willekeurige tekenreeksen.

Afbeeldingsteganografie

Hierbij wordt informatie verborgen in afbeeldingsbestanden. Bij digitale steganografie worden afbeeldingen vaak gebruikt om informatie te verbergen, omdat er een groot aantal elementen zijn binnen de digitale weergave van een afbeelding. Ook zijn er verschillende manieren om informatie in een afbeelding te verstoppen.

Audiosteganografie

Bij audiosteganografie worden geheime boodschappen in een audiosignaal ingesloten, waardoor de binaire reeks van het bijbehorende audiobestand wordt gewijzigd. Deze methode om geheime boodschappen te verbergen in digitaal geluid, is vergeleken met andere een stuk lastiger.

Videosteganografie

Hierbij worden gegevens verborgen in digitale videoformaten. Bij videosteganografie kunnen grote hoeveelheden gegevens worden verborgen in een bewegende stroom van beeld en geluid. Er bestaan twee soorten videosteganografieën:

  • Het insluiten van gegevens in ongecomprimeerde, onbewerkte video's, die later worden gecomprimeerd
  • Het rechtstreeks insluiten van gegevens in de gecomprimeerde gegevensstroom

Netwerksteganografie

Netwerksteganografie, ook wel protocolsteganografie genoemd, is het insluiten van informatie in netwerkcontroleprotocollen die worden gebruikt bij gegevensoverdracht, zoals TCP, UDP, ICMP enz.

Steganografie versus cryptografie

Steganografie en cryptografie hebben hetzelfde doel, namelijk een bericht of informatie beschermen tegen derden, maar ze gebruiken verschillende technieken om dat doel te bereiken. Met cryptografie wordt de informatie veranderd in cijfertekst die alleen kan worden gelezen met een decryptiesleutel. Dit betekent dat als iemand het gecodeerde bericht onderschept, het gemakkelijk te zien is dat er een vorm van encryptie is toegepast. Bij steganografie daarentegen wordt het formaat van de informatie niet gewijzigd, maar wordt de boodschap wel verborgen.

A composite image containing the letters NFT

Steganografie en NFT's

Steganografie en NFT's ('non-fungible token', ofwel een niet-fungeerbare token), lijken op elkaar. Steganografie is een techniek om bestanden in andere bestanden te verbergen, of dat nu een afbeelding, tekst, video of een ander bestandsformaat is. 

Wanneer een NFT wordt aangemaakt, heb je meestal de mogelijkheid om extra inhoud toe te voegen die alleen door de NFT-gebruiker kan worden gezien. Die inhoud kan van alles zijn, zoals high-definition content, berichten, video-inhoud, toegang tot geheime community's, kortingscodes of zelfs slimme contracten, ofwel 'schatten'.

Naarmate de kunstwereld blijft groeien, groeien de NFT-technieken mee. In de toekomst kunnen we verwachten dat het ontwikkelen van NFT's met privé-metagegevens vaker zal voorkomen op verschillende manieren, zoals bij gaming, betaalmuren, ticketverkoop voor evenementen enzovoort.

Gebruik van steganografie

De laatste tijd wordt steganografie vooral gebruikt op computers, waarbij digitale gegevens de dragers zijn en netwerken de snelle leveringskanalen. Steganografie kan worden gebruikt voor het volgende:

  • Het vermijden van censuur: Je kunt steganografie gebruiken om nieuwsinformatie te verzenden zonder dat deze wordt gecensureerd of dat de berichten naar de afzender kunnen worden getraceerd.
  • Digitale watermerken: Hierbij worden digitale watermerken gebruikt die het beeld niet vervormen, terwijl kan worden nagegaan of het zonder toestemming wordt gebruikt.
  • Informatie beveiligen: Hierbij gebruiken wetshandhavers en overheidsinstanties steganografie om zeer gevoelige informatie naar andere partijen te sturen zonder argwaan te wekken.

Hoe wordt steganografie gebruikt om aanvallen uit te voeren?

Criminelen kunnen, wat cyberbeveiliging betreft, steganografie gebruiken om kwaadaardige gegevens in op het eerste gezicht onschuldige bestanden in te sluiten. Aangezien het veel inspanning en nuance vergt om steganografie goed uit te voeren, wordt het vaak gebruikt door ervaren kwaadwillenden die specifieke doelen voor ogen hebben. Hier zijn enkele manieren waarop aanvallen met steganografie kunnen worden uitgevoerd:

Het verbergen van kwaadaardige payloads in digitale mediabestanden

Digitale beelden zijn een ideaal doelwit, omdat ze veel overbodige gegevens bevatten die kunnen worden gemanipuleerd zonder dat het beeld merkbaar verandert. Omdat het gebruik ervan in het digitale landschap zo gangbaar is, geven afbeeldingsbestanden meestal geen aanleiding tot verdenking van kwade opzet. Video's, documenten, audiobestanden en zelfs e-mailhandtekeningen zijn ook mogelijke andere media waarmee steganografie gebruikt kan worden om kwaadaardige payloads te verspreiden.

Ransomware en gegevensexfiltratie

Ransomware-bendes zijn er ook achter gekomen dat steganografie hen kan helpen om hun aanvallen uit te voeren. Steganografie kan ook worden gebruikt tijdens het exfiltratiestadium van een cyberaanval. Door gevoelige gegevens in legitieme communicatie te verbergen, kun je met steganografie gegevens extraheren zonder dat dit wordt gedetecteerd. Nu veel criminelen gegevensexfiltratie zien als het belangrijkste doel van een cyberaanval, worden beveiligingsspecialisten steeds beter in het nemen van maatregelen om na te gaan wanneer gegevens worden geëxtraheerd. Dit doen ze vaak door het gecodeerde netwerkverkeer te controleren.

Opdrachten verbergen in webpagina's

Criminelen kunnen opdrachten voor hun geïmplanteerde bestanden verbergen in webpagina's met witruimte en in foutopsporingslogboeken die op forums worden geplaatst. Ze kunnen ook gestolen gegevens stiekem uploaden in afbeeldingen en hun persistentie handhaven door gecodeerde code op te slaan op specifieke locaties.

Malvertising

Criminelen die malvertisingcampagnes voeren, kunnen gebruikmaken van steganografie. Ze kunnen een kwaadaardige code insluiten in online banneradvertenties die, wanneer ze zijn geladen, de kwaardaardige code extraheren en gebruikers omleiden naar de landingspagina van een exploitkit.

Voorbeelden van bij cyberaanvallen gebruikte steganografie

Het skimmen van e-commerce

In 2020 publiceerde het Nederlandse e-commerce beveiligingsplatform Sansec een onderzoek waaruit bleek dat criminelen skimming-malware hadden ingebed in schaalbare vectorafbeeldingen (SVG's) op betaalpagina's van webwinkels. Bij de aanvallen ging het om een verborgen kwaadaardige payload in SVG-afbeeldingen en een decoder die afzonderlijk op andere delen van de webpagina's verborgen was.

Gebruikers die hun gegevens invoerden op de gehackte betaalpagina's merkten niks verdachts op, omdat de afbeeldingen eenvoudige logo's waren van bekende bedrijven. Omdat de payload zich bevond in een element waarvan het gebruik normaal leek, detecteerden standaard beveiligingsscanners, die zochten naar ongeldige syntax, de kwaadaardige activiteit niet.

SolarWinds

Op een ander moment in 2020 verstopte een groep hackers malware in een legitieme software-update van SolarWinds, de maker van een populair IT-infrastructuurbeheerplatform. De hackers braken met succes in bij Microsoft, Intel en Cisco, en ook bij verschillende Amerikaanse overheidsinstellingen. Vervolgens gebruikten ze steganografie om de gestolen informatie te vermommen als onschuldig lijkende XML-bestanden en HTTP-reactiebestanden van controleservers. De opdrachtgegevens in die bestanden waren verhuld als verschillende tekstreeksen.

Industriële bedrijven

In 2020 werden ook bedrijven in het Verenigd Koninkrijk, Duitsland, Italië en Japan getroffen door een campagne waarbij gebruik werd gemaakt van steganografische documenten. Hackers ontweken detectie door een steganografische afbeelding te gebruiken die op betrouwbare afbeeldingsplatforms, zoals Imgur, was geüpload om een Excel-document te infecteren. Mimikatz, een malware die Windows-wachtwoorden steelt, werd gedownload via een geheim script dat in de afbeelding verborgen zat.

Hoe detecteer je steganografie?

Het opsporen van steganografie wordt steganalyse genoemd. Er bestaan verschillende tools die verborgen gegevens kunnen opsporen, waaronder StegExpose en StegAlyze. Analisten kunnen andere analysetools gebruiken, zoals hexviewers, om afwijkingen in bestanden op te sporen.

Het zoeken naar bestanden die via steganografie zijn gewijzigd, is echter een uitdaging. Dat komt omdat het vrijwel onmogelijk is om te beginnen met zoeken naar verborgen gegevens nu er dagelijks miljoenen afbeeldingen via sociale media worden geüpload.

Aanvallen op basis van steganografie beperken

Steganografie gebruiken tijdens een aanval is relatief makkelijk. Jezelf ertegen beschermen is een stuk ingewikkelder, omdat criminelen steeds innovatiever en creatiever worden. Er zijn enkele risicobeperkende maatregelen, waaronder de volgende:

  • Door middel van cyberbeveiligingstrainingen kun je het bewustzijn van mogelijke risico's bij het downloaden van media uit niet-vertrouwde bronnen vergroten. Je leert zo ook phishing-e-mails met kwaadaardige bestanden te herkennen en de gevolgen van steganografie als cyberdreiging begrijpen. In eerste instantie moet men op basisniveau leren te letten op afbeeldingen met een ongebruikelijke grote bestandsgrootte, omdat dit kan wijzen op steganografie.
  • Organisaties moeten webfiltering toepassen om veilig te kunnen surfen op internet en de laatste beveiligingspatches toepassen wanneer de updates daarvan beschikbaar zijn.
  • Bedrijven moeten moderne technologieën voor endpoint-beveiliging gebruiken die verder gaan dan statistische controles, standaardhandtekeningen en andere verouderde componenten. Verborgen code in afbeeldingen en andere vormen van verduistering wordt namelijk sneller dynamisch gedetecteerd door een gedragsmachine. Bedrijven dienen hun inspanningen op het gebied van detectie rechtstreeks te richten op die endpoints, waar encryptie en verduistering makkelijker op te sporen zijn.
  • Ook moeten bedrijven dreigingsinformatie uit meerdere bronnen gebruiken om op de hoogte te blijven van trends, waaronder cyberaanvallen die invloed kunnen hebben op hun sector en waarbij steganografie is geconstateerd.
  • Met een uitgebreide virusoplossing kun je de kwaadaardige code detecteren, in quarantaine plaatsen en van je apparaten verwijderen. Moderne anti-virusproducten worden vanzelf bijgewerkt, zodat je blijvend bent beschermd tegen de nieuwste virussen en andere soorten malware.

Gerelateerde producten:

Meer informatie:

Wat is steganografie? Definitie en uitleg

Geheime boodschappen kunnen in het zicht worden verborgen. Maar hoe? Dit is wat je moet weten over steganografie en hoe het in z'n werk gaat.
Kaspersky Logo