본문 바로가기
스터디/2021 겨울방학 스터디

[ 포렌식 3일차 ] 스테가노그래피 문서화

ruruby 2021. 2. 3. 18:35

[ 스테가노 그래피 | 개요 ]

디지털 정보를 감추기 위해 사용하는 기법

비밀인 내용을 전달한 때, 대개 이를 확인하지 못하게 하기 위해 잠궈버린다.(암호화)

해독하기 힘들다는 장점이 있지만 '누가봐도 암호문'의 모습이기 때문에 해독을 시도할 가능성은 매우 높아진다. 해독이 어려워도 기밀사항이 유출될 가능성이 분명히 존재한다는 것이다.

아예 암호문인걸 모르게 해서 해독의 시도부터 막는 방법은 없을까?

있다. 스테가노그래피는 "숨겨진 정보의 존재 자체"를 숨긴다.

스테가노그래피를 이용하여 많은 종류의 데이터(오디오, 비디오, 이미지 등)에 어떤 디지털 정보이든지 숨길 수 있다.  

스테가노 그래피로 전달 가능한 것들에는 비밀 내용, 악성코드 등이 있겠다.

워터마킹 => 저작권 표시를 감춰서 함
크립토그래피 => 암호화 알고리즘(상대방이 이해할 수 없도록 메세지 작성)
스테가노그래피 => 정상적으로 <보이는 것> 안에 숨겨서 전달 
파일 내에 데이터 자체의 존재 여부를 확인하기 어렵게 할 뿐, 데이터 자체를 보호하지 않음

cf.암호학: 파일의 데이터의 종류를 안다는 가정하에 데이터 보호

※디지털 스테가노그래피를 위해서는 호스트 파일인 '래퍼(wrapper)'가 있어야 한다. 문자·이미지·음악 파일, 동영상 클립 등이 래퍼가 될 수 있다.  

 

 

이미지 스테가노그래피 : 스테가노 그래피 중 가장 많이 사용되는 것

공간 도메인 기법(래퍼가 되는 은닉 이미지의 픽셀값 조작),

변환 도메인 기법(주파수 도메인 기법),

왜곡 기법(이미지 신호를 왜곡해 비밀 데이터를 숨김),

마스킹&필터링 기법(은닉 이미지 일부의 밝기나 휘도를 수정해 비밀 데이터를 숨김)

 

스테가노그래피가 사이버 공격에 많이 사용되는 이유 : 안티멀웨어 탐지 우회 가능 

크립토그래피로 데이터를 암호화할 경우 안티멀웨어에 의해 탐지되어 복호화될 가능성이 높다.

반면 스테가노그래피는 안티멀웨어에 의한 탐지 가능성이 낮기 때문에 복호화될 가능성이 낮고, 따라서 데이터를 숨긴 목적을 달성하기 유리하다. 

2011년, 처음으로 스테가노그래피가 사용된 사이버 공격이 등장(악성코드 '두쿠'_피해자 시스템의 정보를 수집한 후 jpeg파일에 숨겨서 공격자의 제어서버로 전송)하였고, 2014년 말의 러크(Lurk) 멀웨어 유포과정에서도 사용되었다.   

안티멀웨어 예 >  al-Qaeda, drug cartels

 

[ 스테가노 그래피 | 방식 ]

이미지에 삽입하거나 변조시키는 방식으로 메세지나 파일을 넣어 데이터를 은닉할 수 있다.

1. 삽입

- EOI 바이트 뒤에 숨기기

   : 파일의 끝을 의미하는 EOI(End of Image_JPEG, PNG, GIF 등의 파일에 존재)가 있는 경우 EOI 뒤의 데이터는 무시되기 때문에 가능

- 헤더 영역에 숨기기

   : 파일의 헤더 중에 이미지에 영향을 주지 않는 부분(파일 세부사항 등이 기입되는 영역)이 있기 때문에 가능

2. 변조(이 중 LSB가 일반적으로 사용되는 스테가노그래피 기법)

사실 이 방법도 데이터를 삽입하는 것이지만, 1번의 삽입방법과 달리 래퍼가 나타내는 데이터를 변화시킨다. 물론 인지하지 못할 정도로 경미한 변화이기 때문에 효과적인 정보은닉 방법이지만, 분명히 변조되기에 1번의 삽입과 대비된다. 디지털 세계에서 색깔은 RGB(Red,Green,Blue) 각각 8bit씩 총 24비트로 나타내기 때문에 이 중 몇비트만 살짝 바꿔서 데이터를 은닉하는 것이 가능하다.

 

- 최하위 비트인 LSB 변조

  : LSB(Least Significant Bits_가장 작은 크기를 나타내기 때문에 가장 덜 중요한 비트들)에 데이터를 삽입하면 래퍼가 변조되어도 거의 티가 나지 않는다. 가장 작은 1bit만 변경해 메세지를 전달할 수도 있고, 가장 작은 비트들에 이미지 정보를 숨길 수도 있다.

- 최상위 비트인 MSB 변조

  : MSB(Most Significant Bits_가장 큰 크기를 나타내기 때문에 가장 중요한 비트들)에 데이터를 삽입할 수도 있다. 하지만 가장 큰 크기의 비트들에 데이트를 숨기는 것이기 때문에 숨겨진 데이터가 더 분명하게 전달될 수 있지만, 그만큼 래퍼가 스테가노그래피로 데이터를 숨기고 있음을 더욱 잘 나타낼 수 있다. (스테가노그래피의 목적에 약간 어긋난다.)

- 중간 비트를 사용하여 데이터 변조

 

 

 

 

 

 

 

'스터디 > 2021 겨울방학 스터디' 카테고리의 다른 글

[ 리버싱 1일차 ] 리버싱 기초  (0) 2021.02.15
[ 포렌식 5일차 ] 디스크 분석 기초_저장장치(디스크)의 구조와 MBR  (0) 2021.02.05
[ 네트워크 9일차 ] 프로토콜(SMB, DNS, ARP, ICMP)  (0) 2021.01.27
[ 네트워크 7일차 ] TCP.IP 프로토콜  (0) 2021.01.25
[ 네트워크 4일차 ] protocol, http, ftp, telnet  (0) 2021.01.22

'스터디/2021 겨울방학 스터디' Related Articles

티스토리툴바