（10.3）【隐写缓解】隐写防护、隐写干扰、隐写检测

目录

一、数据隐藏检测的网络技术

1.1、简介：

1.2、分层检测：

1.3、网络技术：

简介：

入侵防护系统(IPS)

恶意软件防护系统(MPS)

防病毒(A/V）

下一代防火墙

数据泄露防护系统

二、干扰

2.1、历史：

2.2、示例：

2.3、Web网关的工作流程：

正常处理过程

额外工作

2.4、分析：

三、数据隐藏检测终端技术

3.1、简介：

3.2、示例（系统）：

3.3、示例（程序）：

3.4、现状：

---

一、数据隐藏检测的网络技术

1.1、简介：

企业用户应该都使用了各自的深度防御安全策略来检测和对抗数据隐藏技术。统计专家表示大多数数据隐藏使用的都是可以从互联网上免费获取的数据隐藏应用， 虽然也有个别通过VoIP或无线传输进行数据隐藏的。但更常见的恶意用户（例如， 从事儿童剥削或商业间谍等活动的人）还是使用已知应用进行数据隐藏犯罪。因为使用应用进行数据隐藏很常见， 所以与VoIP或无线攻击相比， 它的潜在危害更大。

---

有很多可以检测数据隐藏痕迹的产品。对于传输中的数据， 可以用网络抓包工具收集对隐藏数据的分析， 对数据隐藏行为进行事后分析。例如， 分析抓包工具生成的pcap 文件。此外， 还有更全面的监控产品， 可以找到不同数据间的关系， 并以安全信息事件管理(Security Information Event Management, SIEM)视图展示出来。这些产品都源于实时的网络分析工具， 比如IPS 和MPS（恶意软件防护系统）。但是找到数据隐藏内容要比识别已知的恶意文件难得多。此外， 虽然普通文件（如照片） 都有散列值， 但如果嫌疑人用的载体文件是定制的， 就没有已知的散列值可以用来进行对比分析， 也就不能判断图像是否被修改过。

1.2、分层检测：

数据隐藏安全分层检测方法 

1.3、网络技术：

简介：

企业网中应用的各类安全产品， 每个产品都是深度防御策略的一部分，可以在不同程度上识别、缓解或者修正数据隐藏行为， 主要是网络中传输的数据（如文件以及隐藏在网络传输和协议中的数据）

用于检测数据隐蔽活动的网络技术

---

入侵防护系统(IPS)

大多数入侵防护系统(IPS)都没有经过优化， 无法很好地检测数据隐藏行为和隐写程序。IPS非常适合检测下载中的数据隐藏和隐写程序， 或完成隐写识别和隐藏信息发现生命周期中第一环节的工作。目前， 大多数IPS产品都没有可以有用于检测不同类型隐写工具的签名， 但是我们可以通过各种方法让其具备该功能。我们已经简要介绍过很多常用程序，只需花很少功夫就可以创建用于检测程序下载行为的签名。

---

恶意软件防护系统(MPS)

恶意软件防护系统(MPS)主要用于分析具有恶意目的的未知可执行文件。把未知可执行文件放到虚拟沙盒环境中， MPS即可在运行时分析该文件的行为。任何安装或者修改的dll文件、注册表变化、安装的服务以及其他行为都会被MPS检测到， 并分析其中与恶意代码类似的非授权或异常行为。这种启发式的（行为）分析非常适合检测新的数据隐藏或目前尚未分析过的隐写程序。

---

防病毒(A/V）

是数据隐藏和隐写行为检测的最常见手段。隐写和数据隐藏用到的工具软件多数是从互联网上下载， 而不是通过E-mail获取的， 因此使用防病毒软件看起来并不合适。但是， 如果人们通过E-mail以附件形式发送使用已知程序嵌入数据的文件时， 通过部署防病毒软件来检测或缓和这种行为就是一个很不错的解决方案。防病毒软件的缺点就是：现在多数软件都没有一套很全面的数字签名集用于检测带有隐藏数据的附件。

---

下一代防火墙

具有很多dwarf old school防火墙的特性。这种基于行为的启发式分析法很适合检测那些尚无记载的新型数据隐藏或隐写工具。对于某些特殊的数据隐藏协议， 应用协议解码能够提供其中某些技术的检测方案， 但是需要进行二次开发。此外， 下一代防火墙还能进行启发式分析， 分析通过所有权加密来规避检测的行为， 其他规避检测的行为以及资源滥用行为。虽然下一代防火墙并没有专门的数据隐藏和隐写传输检测模块， 但可以通过配置相应的策略来实现此功能。

---

数据泄露防护系统

可以检测文件中的数据， 也可以通过配置策略来跟踪入侵行为

eg：跟踪一些不允许流出网络的元数据。通常情况下， DLP需要定制大量针对本公司或本机构的元数据检测策略。但是，需要特别注意的是，有些数据隐藏程序使用了数据模糊或掩盖数据技术（如加密）， 经这些程序处理过的文件在网络中传输时，DLP也无法向检测到。DLP只能检测使用简单技术处理的文档， 例如，Word、PDF等文字处理软件或电子表格文件等。人们只是简单地在这些文件的元数据区域嵌入数据，而这些很容易被DLP检测到。

---

---

二、干扰

2.1、历史：

1904年～1905年日俄冲突期间的通信干扰事件。俄军电报台总是发送一些随机噪声， 以中断日本舰队间的通信。二战期间， 英美军方发明了一种可以躲避精准雷达检测的干扰方法，即通过从飞机上不断投下小金属片来干扰地空雷达系统。如今，电子对抗已经成为陆海空战役的中心，其主要目的就是在几乎所有战场中进行的电子竞技：隐蔽通信、扰乱信号、进行通信欺诈等。

---

很多隐写术的基本概念已逐渐应用到网络基础设施中。暗鼠行动、Alureon木马和各种恶意应用程序都是用数据隐藏技术来躲避DLP系统、内容过滤器和应用防火墙的检测。因此，通信干扰或终端技术的应用很关键。由于数字图像、多媒体文件在网络攻击中所占的比重日益增大， 所以系统管理员们就可以使用低成本（占用较少的网络开销）、无创伤的干扰沂法来对抗这些攻击。

2.2、示例：

部署一个具有JPEG干扰功能的Web网关

---

2.3、Web网关的工作流程：

正常处理过程

（1）用户通过Web网关进行一个URL请求

（2）网关将URL请求转发到互联网中的URL

（3）URL响应请求

（4） Web 网关解释并检查响应

---

额外工作

（5）如果响应中包含JPEG 图像， 网关则保持响应连接， 同时将JPEG 图像转发到JPEG
干扰服务器中。

（6）干扰服务器执行安全检查， 并对JPEG 图像进行重编码， 以打乱其中可能存在的隐
藏信息。

（7）将被处理过的JPEG 图像返回到Web 网关。

（8）Web 网关将处理过的图像返回给进行URL 请求的应用程序。

---

2.4、分析：

被干扰服务器处理过的JPEG 图像在用户看来并没有什么异常。但如果URL 请求是一个想从图像中提取命令和控制信息的恶意应用程序发起的， 干扰服务器就已经成功破坏了其中的命令或控制信息。

当然， 信息几乎可以隐藏在任何形式的内容中（图像、多媒体文件、Web HTML 、文档、
电子表格和javascript 等）， 因此在信息安全对抗中还会用到更多其他形式的干扰技术。

---

---

三、数据隐藏检测终端技术

3.1、简介：

很多供应商都生产基于主机的、具有应用屏蔽功能的产品。应用屏蔽功能是通过设置黑白名单策略实现的， 黑名单是不允许通过的应用清单， 白名单是允许通过的应用清单。策略可以根据应用名称、数字签名散列值或其他行为特征（例如， 系统调用、执行应用需要的权限和当前用户权限等）来设定。

---

 通过制定策略不允许指定在某种环境下或某特定用户执行某类应用程序， 就可以屏蔽很多隐写应用。你所需要的只是待屏蔽的隐写工具的数字签名（散列值）列表， 然后不断维护这个清单， 确保数字签名是最新的， 这样就可以阻止这些隐写工具的运行。

3.2、示例（系统）：

McAfee 的HIPS（主机入侵防护系统， Host Intrusion Prevention System) 或Symantec 的Critical System Protection（关键系统防护）， 其安全机制不仅提供必需的应用屏蔽功能，还会把攻击企图转发到管理控制台或信息安全事件管理系统(Security Information Event Management System, SIEM)， 进而给信息安全人员提供中高级别的数据泄露和恶意软件感染告警

数据隐藏检测终端技术的行为

 很多企业网中都采取了漏洞扫描措施， 扫描设备的插件都是可以定制的（例如，Nessus) 。管理员可以自定义检测dll 文件、可执行文件以及其他与数据隐藏程序相关的文件。值得注意的是， 这些在一般的网络漏洞扫描中都无法检测到， 需要通过证书式扫描（扫描时需登录到被检测设备中）才能检测到。如今， 很多漏洞扫描产品都支持NASL (Nessus攻击脚本语言， Nessus Attack Scripting Language)

3.3、示例（程序）：

下面这个能检测到隐写程序Camouflage, 对注册表所做的更改

type : REGISTRY_SETTING
description : "steganography program Camouflage"
value_type : POLICY_ TEXT
reg_key : "HKEY_CURRENT_USER\Software\Camouflage\CamouflageFile\0"
reg_option : CAN_BE_NULL

3.4、现状：

随着移动领域技术革命的不断推进， 移动设备管理和安全产品的重要性日益凸显， 它能够检测各种各样的数据隐藏和隐写行为。很多产品还能够检测并屏蔽那些数据隐藏和隐写应用程序的下载。

如果用户的移动设备（如手机）经过了越狱或root 处理以逃过安全检测， 而大多数移动设备安全管理产品还是能连接到各自的企业网中，继续对移动设备进行安全检查。而且， 管理员还能够对设备进行选择性的部分清理或者全盘清理。移动设备安全管理产品逐渐改进， 开始展现类似于DLP 的特性： 可以阻止用户将信息复制到E-mail 中并转发给其他用户， 或者通过复制或粘贴将信息复制到E-mail 或其他文件中。