图像隐写术与StegExpose工具实战解析

本文是GSE重新认证过程系列文章的第三部分（第一部分：GCIH，第二部分：GCIA），重点介绍在重新认证过程中重新审视的工具。隐写术“代表了通过在其他看似无害的消息中嵌入消息来隐藏信息的艺术和科学”。

最近，隐写术作为利用和渗透策略的一部分再次引起了广泛关注。2016年12月6日，ESET描述了数百万流行网站读者成为Stegano漏洞工具包的受害者，该工具包隐藏在恶意广告的像素中。2016年10月17日，Sucuri博客描述了Magento网站中的信用卡窃取器，攻击者使用图像文件作为混淆技术，在受害者网站销售产品的相关图像中隐藏被盗细节。

GSE认证包括SANS 401 GSEC内容，GSEC课程的第4天包括一些关于隐写术的内容，使用Image Steganography工具。隐写创建工具很容易获得，但有些过时，包括最后一次更新于2011年的Image Steganography和最后一次更新于2015年的OpenStego。还有其他更老的命令行工具，但这两个是真正直接的基于GUI的选项。不幸的是，开源或免费的隐写检测工具整体上非常过时且更难找到，除非你是商业工具用户。StegExpose是少数几个相当当前（2015年）的开放选项之一，允许你进行隐写分析以检测图像中的LSB隐写。LSB是图像像素字节值中的最低有效位，基于LSB的图像隐写将隐藏的有效负载嵌入图像像素值的最低有效位中。

Image Steganography使用LSB隐写，这使其成为与另一个工具对抗的绝佳机会。从Codeplex下载Image Steganography，然后运行Image Steganography Setup.exe。安装后运行Image Steganography，并选择PNG图像。然后，你可以键入要嵌入的文本，或从文件输入数据。我选择wtf.png作为图像，rr.ps1作为输入文件。我选择将生成的隐写样本写入wtf2.png，如图1所示。

图1: Image Steganography

反向解码消息的过程同样简单。选择解码单选按钮，UI将切换到解码模式。我拖入刚刚创建的wtf2.png文件，并选择将输出写入同一目录，如图2所示。

图2: wtf.png decoded

非常简单，提取的rr.ps1文件与原始嵌入文件未更改。

现在，StegExpose会检测此文件为隐写吗？从Github下载StegExpose，解压master.zip，并从命令提示符导航到结果目录。针对包含隐写图像的目录运行StegExpose.jar，如下所示：java -jar StegExpose.jar c:\tmp\output。果然，隐写被确认，如图3所示。

图3: StegExpose

不错吧？方程两边的操作都很简单。

现在来一个小比赛。五位读者通过russ at holisticinfosec dot org给我发邮件，并给我关于我在wtf2.png中具体隐藏内容的最精确细节，将在这里获得点名和5美元星巴克礼品卡，用于圣诞期间的咖啡因。

比赛: wtf2.png

注意：不要运行实际的有效负载，它会让你烦恼不已。如果你必须运行它以 decipher，请在虚拟机中运行。它不是恶意软件，但再次强调，它很烦人。

干杯……下次见。