行业新闻与博客

隐写术，即隐藏信息的做法，已经存在了几个世纪。最近，它与某些形式的网络攻击有关。继续阅读以了解有关隐写术示例、隐写术类型以及网络安全中的隐写术的更多信息。

什么是隐写术？

隐写术是将信息隐藏在另一条消息或物理对象中以避免被发现的做法。隐写术可用于隐藏几乎任何类型的数字内容，包括文本、图像、视频或音频内容。然后，隐藏的数据将在目的地被提取。

通过隐写术隐藏的内容有时会在隐藏在另一种文件格式中之前进行加密。如果未加密，则可能会以某种方式对其进行处理以使其更难以检测。

作为秘密通信的一种形式，隐写术有时被比作密码学。然而，两者并不相同，因为隐写术不涉及在发送时对数据进行加扰或在接收时使用密钥对其进行解码。

“隐写术”一词源自希腊语“steganos”（意思是隐藏或覆盖）和“graphein”（意思是书写）。几千年来，为了保证通信的私密性，隐写术已经以各种形式被实践。例如，在古希腊，人们会在木头上雕刻信息，然后用蜡来隐藏它们。罗马人使用各种形式的隐形墨水，当加热或光照射时，这些墨水就可以被破译。

隐写术与网络安全相关，因为勒索软件团伙和其他威胁行为者在攻击目标时经常隐藏信息。例如，它们可能隐藏数据、隐藏恶意工具或向命令和控制服务器发送指令。他们可以将所有这些信息放入看似无害的图像、视频、声音或文本文件中。

隐写术的工作原理

隐写术的工作原理是通过避免怀疑的方式隐藏信息。最流行的技术之一称为“最低有效位”(LSB) 隐写术。这涉及将秘密信息嵌入媒体文件的最低有效位中。例如：

• 在图像文件中，每个像素由与红、绿、蓝相对应的三个字节的数据组成。某些图像格式为透明度或“alpha”分配额外的第四个字节。
• LSB 隐写术会更改每个字节的最后一位以隐藏一位数据。因此，要使用此方法隐藏一兆字节的数据，您将需要一个八兆字节的图像文件。
• 修改像素值的最后一位不会导致图片发生视觉上可察觉的变化，这意味着任何查看原始图像和经过隐写修改的图像的人都无法分辨出差异。

相同的方法可以应用于其他数字媒体，例如音频和视频，其中数据隐藏在文件的某些部分中，从而对听觉或视觉输出造成最小的改变。

另一种隐写技术是使用单词或字母替换。这是秘密消息的发送者通过将文本分布在更大的文本中、以特定的间隔放置单词来隐藏文本的地方。虽然这种替换方法很容易使用，但它也可能使文本看起来奇怪和不合适，因为秘密单词可能在逻辑上不适合其目标句子。

其他隐写术方法包括隐藏硬盘驱动器上的整个分区或将数据嵌入文件和网络数据包的标头部分。这些方法的有效性取决于它们可以隐藏多少数据以及检测它们的难易程度。

隐写术的类型

从数字角度来看，隐写术有五种主要类型。这些都是：

1. 文本隐写术
2. 图像隐写术
3. 视频隐写术
4. 音频隐写术
5. 网络隐写术

让我们更详细地看看每一个：

文本隐写术

文本隐写术涉及将信息隐藏在文本文件中。这包括更改现有文本的格式、更改文本中的单词、使用上下文无关语法生成可读文本或生成随机字符序列。

图像隐写术

这涉及到在图像文件中隐藏信息。在数字隐写术中，图像通常用于隐藏信息，因为图像的数字表示中存在大量元素，并且有多种方法可以在图像中隐藏信息。

音频隐写术

音频隐写术涉及将秘密消息嵌入到音频信号中，从而改变相应音频文件的二进制序列。与其他过程相比，在数字声音中隐藏秘密信息是一个更加困难的过程。

视频隐写术

这就是数字视频格式中隐藏数据的地方。视频隐写术允许将大量数据隐藏在移动的图像和声音流中。视频隐写术有两种类型：

• 将数据嵌入到未压缩的原始视频中，然后进行压缩
• 将数据直接嵌入到压缩数据流中

网络隐写术

网络隐写术，有时也称为协议隐写术，是一种在数据传输中使用的网络控制协议（例如 TCP、UDP、ICMP 等）中嵌入信息的技术。

隐写术与密码学

隐写术和密码学有着相同的目标，即保护消息或信息免受第三方侵害，但它们使用不同的机制来实现这一目标。密码学将信息更改为密文，只能使用解密密钥才能理解。这意味着，如果有人截获此加密消息，他们可以很容易地看到已经应用了某种形式的加密。相比之下，隐写术不会改变信息的格式，而是隐藏消息的存在。

隐写术和 NFT

隐写术和 NFT 或不可替代代币之间存在一些重叠。隐写术是一种将文件隐藏在其他文件中的技术，无论是图像、文本、视频还是其他文件格式。 

当您创建 NFT 时，您通常可以选择添加只能由 NFT 持有者透露的附加内容。这些内容可以是任何内容，包括高清内容、消息、视频内容、秘密社区的访问权限、折扣代码，甚至智能合约或“宝藏”。

随着艺术世界的不断发展，NFT 技术也随之变化。我们预计未来会看到更多使用私有元数据设计 NFT，并以不同的方式应用——例如游戏、付费专区、活动票务等。

隐写术的用途

近年来，隐写术主要应用在计算机上，以数字数据为载体，以网络为高速传输通道。隐写术的用途包括：

• 避免审查：使用它发送新闻信息而不会受到审查，也不必担心消息被追溯到发送者。
• 数字水印：用它来创建不扭曲图像的隐形水印，同时能够跟踪是否未经授权使用。
• 保护信息：执法机构和政府机构使用它向其他方发送高度敏感的信息而不引起怀疑。

如何使用隐写术来发起攻击

从网络安全的角度来看，威胁行为者可以使用隐写术将恶意数据嵌入看似无害的文件中。由于隐写术需要付出巨大的努力和细微差别才能正确执行，因此其使用通常涉及具有特定目标的高级威胁行为者。以下是通过隐写术进行攻击的一些方法：

在数字媒体文件中隐藏恶意负载

数字图像可能是主要目标，因为它们包含大量冗余数据，可以在不明显改变图像显示方式的情况下对其进行操作。由于它们在数字领域的使用如此广泛，因此图像文件往往不会引发有关恶意意图的危险信号。视频、文档、音频文件甚至电子邮件签名也为使用隐写术植入恶意负载提供了潜在的替代媒介。

勒索软件和数据泄露

勒索软件团伙还了解到，使用隐写术可以帮助他们实施攻击。隐写术还可以用于网络攻击的数据泄露阶段。通过将敏感数据隐藏在合法通信中，隐写术提供了一种在不被发现的情况下提取数据的方法。由于许多威胁行为者现在将数据泄露视为网络攻击的主要目标，安全专家正在更好地实施措施来检测数据何时被提取，通常是通过监控加密的网络流量。

在网页中隐藏命令

威胁行为者可能会在带有空格的网页和发布到论坛的调试日志中隐藏其植入命令，秘密上传图像中被盗的数据，并通过在特定位置存储加密代码来保持持久性。

恶意广告

进行恶意广告活动的威胁行为者可以利用隐写术。他们可以将恶意代码嵌入在线横幅广告中，加载后，提取恶意代码并将用户重定向到漏洞利用工具包登录页面。

网络攻击中使用的隐写术示例

电商略读

2020 年，荷兰电子商务安全平台 Sansec 发布的研究表明，威胁行为者在电子商务结账页面的可扩展矢量图形 (SVG) 中嵌入了窃取恶意软件。这些攻击涉及 SVG 图像内隐藏的恶意负载以及单独隐藏在网页其他部分的解码器。

在受感染的结帐页面上输入详细信息的用户没有注意到任何可疑之处，因为这些图像是来自知名公司的简单徽标。由于有效负载包含在看似正确使用的 SVG 元素语法中，因此搜索无效语法的标准安全扫描程序无法检测到恶意活动。

太阳风

同样在 2020 年，一群黑客将恶意软件隐藏在 SolarWinds（流行 IT 基础设施管理平台的制造商）的合法软件更新中。黑客 成功入侵了 微软、英特尔和思科以及多个美国政府机构。然后，他们使用隐写术将他们窃取的信息伪装成看似良性的 xml 文件，这些文件在来自控制服务器的 HTTP 响应主体中提供。这些文件中的命令数据被伪装成不同的文本字符串。

工业企业

2020 年，英国、德国、意大利和日本的企业再次受到使用隐写文档的攻击活动的打击。黑客通过使用在 Imgur 等信誉良好的图像平台上上传的隐写图像来感染 Excel 文档来避免检测。Mimikatz 是一种窃取 Windows 密码的恶意软件，是通过图片中包含的秘密脚本下载的。

如何检测隐写术

检测隐写术的做法称为“隐写分析”。有多种工具可以检测隐藏数据的存在，包括 StegExpose 和 StegAlyze。分析师可以使用其他通用分析工具（例如十六进制查看器）来检测文件中的异常情况。

然而，查找通过隐写术修改的文件是一项挑战，尤其是因为知道从哪里开始在社交媒体上每天上传的数百万张图像中查找隐藏数据几乎是不可能的。

减轻基于隐写术的攻击

在攻击期间使用隐写术相对容易。随着威胁行为者变得更加创新和更有创造力，防范它要复杂得多。一些缓解措施包括：

• 网络安全培训可以提高人们对从不受信任的来源下载媒体所涉及的风险的认识。它还可以教人们如何发现包含恶意文件的网络钓鱼电子邮件，并了解隐写术作为网络威胁的流行程度。在基本层面上，教人们留意文件大小异常大的图像，因为这可能表明存在隐写术。
• 组织应该实施网络过滤以更安全地浏览，并且还应该在有更新时及时更新最新的安全补丁。
• 公司应该使用超越静态检查、基本签名和其他过时组件的现代端点保护技术，因为隐藏在图像和其他形式的混淆中的代码更有可能被行为引擎动态检测到。公司应该将检测工作直接集中在更容易检测到加密和混淆的端点。
• 公司还应该使用来自多个来源的威胁情报来及时了解趋势，包括影响其行业的网络攻击（已观察到隐写术）。
• 使用全面的防病毒解决方案将有助于检测、隔离和删除设备中的恶意代码。现代防病毒产品会自动更新，以针对最新病毒和其他类型的恶意软件提供防护。