◆シナリオ◆
一見有用な画像やファイルを使用して悪意のあるプログラムを隠し、ユーザーとシステムのセキュリティを欺こうとすることがあります。これにより、セキュリティチェックを回避し、被害者を誘導してマルウェアをダウンロードして実行させたり、フォレンジックによる識別を阻止したりすることができます。
◆目的
ステガノグラフィーは、情報またはファイルを別のファイル内に隠すプロセスです。つまり、有害なファイルを安全なファイルに偽装する処理です。
ステガノグラフィーを使用して隠されたファイルを分析し、システムまたはネットワークへの影響を発見できるようにすることです。
◆概要
StegSpy、Image Steganography、OpenStego、DeepSound などのツールに慣れ、これらのツールを使用して隠しコンテンツを含むメッセージやファイルを識別する方法を理解するのに役立ちます。
1,
StegSpy2.1.exeをダブルクリックしてツールを起動します。
2,
ツールのメイン ページから[実行]ボタンをクリックして、疑わしいファイルを追加します。
開いているウィンドウが表示されます。不審なファイルの場所、Filesに移動します。ファイルModel.pngを選択し、「開く」ボタンをクリックします。
3,
このツールはファイルをスキャンし、ファイル内の別のファイルを隠すために使用されたステガノグラフィー技術の種類を表示します。
4,
アプリケーションを閉じます。
5,
McAfee のSteganography Defense Initiativeなどのオンライン ステガノグラフィー検出ツールを使用して、画像内のステガノグラフィーを検出することもできます。
このオンライン プラットフォームを使用してステガノグラフィー検出を実行するには、Web ブラウザー (ここではFirefox ) を起動し、URL https://www.mcafee.com/enterprise/en-us/downloads/free-tools/steganography.html を参照します。
※
このタスクは Web ページ上でデモを行っているため、将来マカフィーがこのタスクを削除したり、ランディング ページの URL を変更したりした場合、上記のリンクは機能しなくなる可能性があります。
6,
次のスクリーンショットに示すように、McAfee のSTEGANOGRAPHY DEFENSE INITIATIVE Web ページが表示されます。
7,
Web ページを下にスクロールし、「ステガノグラフィーを分析する画像ファイルをここにドロップします」というボックスをクリックして、疑わしい画像をアップロードします。
8,
「開く」ウィンドウが表示されます。C:\CHFI-Tools\Evidence Files\Image Filesに移動し、Model.png を選択して、[開く]をクリックします。
9,
画像が Web ページにアップロードされ、McAfee の Web サイトが画像のスキャンを開始します。
スキャンが完了すると、Web サイトはファイルModel.pngの画像にステガノグラフィーの重大な痕跡が含まれていることを示す結果を返します。
10,
Web ブラウザを閉じます。
11,
ここで、画像に隠されたコンテンツをデコードしてみます。画像に隠されたデータを検出するには、さまざまなツールの使用を試み続ける必要があります。このラボでは、イメージ ステガノグラフィーとOpenStegoを使用して、隠されたデータを明らかにします。
Image Steganographyツールを使用して、隠されたデータの検出を試みてみましょう。ツールをインストールするには、Image Steganography Setup.exeファイルをダブルクリックしてセットアップを起動し、[インストール]をクリックします。
12、
インストールが完了すると、「Image Steganography Setup」ポップアップが表示されます。「はい」をクリックしてツールを起動します。
13,
次のスクリーンショットに示すように、イメージ ステガノグラフィーのメイン ウィンドウが表示されます。
14,
[デコード]オプションを選択して、疑わしいファイルから隠しファイルを抽出します。
15,
イメージのデコードを試行するには、イメージの場所、つまり、「デコード」セクションの「イメージ」フィールドにC:\CHFI-Tools\Evidence Files\Image Files\Model.png を入力し、「開始」をクリックします。
16,
ツールはファイルの分析を試み、解読できた場合は結果を表示します。それ以外の場合は、提供されたイメージが破損しているか無効であることを示すメッセージが表示されます。
この場合、ツールは非表示のコンテンツまたはファイルを検出または抽出できませんでした。提供された入力ファイルが破損しているか無効であることを示すメッセージが表示されました。「OK」をクリックします。
17,
アプリケーションを閉じます。
18,
次に、他のツール、つまりOpenStegoを使用して、以前に選択した画像 ( Model.png )から隠しファイルを抽出してみます。
OpenStegoをインストールするには、 OpenStegoに移動し、Setup-OpenStego-0.6.1.exeファイルをダブルクリックします。
OpenStegoセットアップ ウィザードが表示されます。使用許諾契約に同意し、ウィザードによるインストール手順に従ってアプリケーションをインストールします。
※
OpenStegoのインストール中に、Java ランタイム環境 (JRE)バージョン 1.5.0 以降をインストールするかどうかを尋ねるOpenStego セットアップダイアログ ボックスが表示された場合は、 「いいえ」を選択し、後続のOpenStego セットアップダイアログ ボックスで[OK]をクリックして続行します。 OpenStegoアプリケーションのインストール。
19,
[スタート]メニューに移動し、 [最近追加した] リストの下にある[OpenStego を実行]をクリックします。
20,
OpenStego GUI が表示されます。「データ非表示」セクションの下にある「データの抽出」ボタンをクリックして、ステガノグラフィーを含むファイルを入力し、非表示データを抽出します。
21,
「入力ステゴファイル」フィールドにステガノグラフィーを含むファイルのパスを入力し、 「メッセージファイルの出力フォルダー」フィールドに出力ディレクトリとしてフォルダーを指定します
ステガノグラフィーを含むファイルModel.pngを出力フォルダー・Desktopとして設定します。「データの抽出」ボタンをクリックします。
22,
ツールはファイルを分析し、隠されたデータを正常に抽出します。抽出したデータをデスクトップに保存します。「OK」をクリックします。
23,
隠しファイルはTesting.txtとしてデスクトップに抽出されており、次のスクリーンショットに示すテキストが含まれています。