图像隐写术与StegExpose：GSE认证中的隐写分析工具实战

Russ McRee的HolisticInfoSec™包含文章、研究、反馈以及偶尔的吐槽。HolisticInfoSec™倡导在实现全面信息安全的过程中采用标准、简化、工具化和高效化。

2016年12月11日，星期日

Toolsmith - GSE版：图像隐写术与StegExpose

本文同步发布在Internet Storm Center Diary上。

更新于12月14日，恭喜竞赛获胜者：

• Chrissy @SecAssistance
• Owen Yang @HomingFromWork
• Paul Craddy @pcraddy
• Mason Pokladnik - STI毕业生
• Elliot Harbin @klax0ff

在专注于GSE重新认证过程中重温工具的三部分系列（第一部分-GCIH，第二部分-GCIA）的最后一部分，我认为及时且相关地为您提供一些关于隐写术工具的演练是合适的。隐写术“代表了通过在其他看似无害的消息中嵌入消息来隐藏信息的艺术和科学”。

最近，隐写术作为利用和外泄策略的一部分再次引起了相当多的关注。2016年12月6日，ESET描述了数百万流行网站读者成为隐藏在恶意广告像素中的Stegano漏洞利用工具包的目标受害者。2016年10月17日，Sucuri博客描述了Magento网站中的信用卡刷卡器，攻击者使用图像文件作为混淆技术，在受害者网站销售产品的相关图像中隐藏被盗细节，以免被网站所有者发现。

GSE认证包括SANS 401 GSEC内容，GSEC课程的第4天内容包含一些关于使用Image Steganography工具进行隐写术的时间。隐写术创建工具很容易获得，但有些过时，包括最后更新于2011年的Image Steganography和最后更新于2015年的OpenStego。还有其他更老的命令行工具，但这两个是真正直接的基于GUI的选择。不幸的是，开源或免费的隐写检测工具整体上确实过时且更难找到，除非您是商业工具用户。StegExpose是少数相当当前（2015年）的开放选项之一，允许您进行隐写分析以检测图像中的LSB隐写术。LSB是图像像素字节值中的最低有效位，基于LSB的图像隐写术将隐藏的有效负载嵌入图像像素值的最低有效位中。

Image Steganography使用LSB隐写术，这使得这是一个完美的机会将两者相互对抗。从Codeplex下载Image Steganography，然后运行Image Steganography Setup.exe。安装后运行Image Steganography并选择PNG作为您的图像。然后您可以键入要嵌入的文本，或从文件输入数据。我选择wtf.png作为我的图像，rr.ps1作为我的输入文件。我选择将生成的隐写样本写出到wtf2.png，如图1所示。

图1：Image Steganography

反向解码消息的过程同样简单。选择解码单选按钮，UI将切换到解码模式。我拖放刚创建的wtf2.png文件，并选择将输出写入同一目录，如图2所示。

图2：wtf.png解码

非常简单，提取的rr.ps1文件与原始嵌入文件未更改。

现在，StegExpose会检测此文件为隐写术吗？从Github下载StegExpose，解压master.zip，并从命令提示符导航到结果目录。针对包含您的隐写图像的目录运行StegExpose.jar，如下所示：java -jar StegExpose.jar c:\tmp\output。果然，隐写术被确认，如图3所示。

图3：StegExpose

不错吧？方程两边的操作都很简单。

现在来一个小竞赛。五位读者通过russ at holisticinfosec dot org给我发送电子邮件，并给我关于我具体在wtf2.png中隐藏的内容的最精确细节，将在这里得到点名并获得5美元星巴克礼品卡，用于圣诞节期间的咖啡因。

竞赛：wtf2.png

注意：不要运行实际的有效负载，它会让您烦恼不已。如果您必须运行它以 decipher，请在VM中运行。它不是恶意软件，但再次强调，它很烦人。

干杯…直到下次。

2016年12月11日

标签： ESET, GSE, GSEC, Image Steganography, Stegano, steganography, StegExpose, Sucuri