Zipped Steganography: una joya de la esteganografía (1)

 

 

Enviado por infosniper el 17 Noviembre 2010 - 9:59pm

Por infosniper

Todo comenzó el día que supe de NyxEngine, un programa que elimina el malware incrustado en archivos comprimidos. ¡Aivalahostia, esteganografía en un .ZIP!

Descargué el programa y lo dejé en mi disco duro, pendiente de cuando me entraran ganas de meterle mano. Pasaron las semanas y por fin llegó ese día.

Bueno, antes de entrar en materia y como vamos a estar liados con experimentos llenando el disco duro de porquería, en primer lugar será mejor crear una imagen de recuperación para la partición en la que tenemos el sistema operativo. Después ya podremos comenzar...

Descomprimimos NyxEngine.rar, buscamos la carpeta NyxConsole en la ruta NyxEngine\SDK\Bin y la copiamos en el Escritorio. Desde la línea de comandos ejecutamos nyxconsole.exe y ya vemos por donde irán los tiros.

Ahora para el experimento sólo queda conseguir un archivo .ZIP esteganografiado. Casi ná.

Tiramos de Google. En el recuadro de búsqueda introducimos zip steganography y como primer resultado ya obtenemos lo que nos interesa:

http://www.codeproject.com/KB/security/steganodotnet16.aspx

un link al programa Steganography 16. Como estas cosas son delicadas y pueden llevar trampa vamos a buscar la web del programador para descargar el original. En Google escribimos "John Corinna" (incluyendo las comillas) y encontramos:

http://www.binary-universe.net/

Entramos y abajo pulsamos en SteganoDotNet. Si sale en alemán reconvertimos la página al inglés dándole a la banderita de la izquierda. Pulsamos en el link ZIP archives y ya lo tenemos. Una vez descargado steganodotnet16_src.zip lo descomprimimos en el Escritorio en una carpeta llamada, por ejemplo, source. Miramos dentro y ¡coño, que no hay ningún .EXE!.

Para todos aquellos como yo cuyo mayor éxito en el campo de la programación se limita al mando del televisor nos encontraremos en este momento con un obstáculo importante. ¿Qué hacer?. Primero asegurarnos de que los archivos corresponden al lenguaje C#. Como uno de los archivos tiene una extensión de lo más rara, .CSPROJ, pues a la carga con él. Buscamos en file-extensions.org y nos aparece en:

http://www.file-extensions.org/csproj-file-extension

que efectivamente se trata de C# y que corresponde a Microsoft Visual Studio. Nuevo problema: ¿qué es Microsoft Visual Studio?, ¿un intérprete de C#?. Pues no. C# no se interpreta como ocurre con Java, sino que se compila, y Visual Studio tiene, entre otras cosas, su compilador para C#. ¿Pero es que no hay compiladores freeware para C#?. Pues sí, pero como no tenemos tampoco ni idea de cómo funcionan y como dicen que Microsoft nos hace la vida más fácil, pues vamos a comprobarlo.

Que a nadie le de un ataque de risa al ver el precio de Microsoft Visual Studio 2010 Ultimate, http://www.microsoft.com/spain/visualstudio/products
porque no dejan de ser más que unos miserables 12.769 €, o sea nada que no nos podamos permitir. Pero, como veremos, no hará falta comprobar si llevamos suficiente suelto en la cartera porque al poco de buscar en Google ya habremos encontrado, además del número de serie válido que no necesitaremos para nada, una .ISO de 2,27 GB que enlaza a los servidores de Microsof:

http://download.microsoft.com/download/2/4/7/24733615-AA11-4...

Una vez grabada la imagen X16-42552VS2010UltimTrial1.iso en un DVD-Rom será necesario desactivar todos los programas residentes junto al reloj de la barra de tareas y desconectarse de internet (quitándole al router el cable del teléfono, por si acaso, que las ondas electromagnéticas las carga el diablo). Ésto se hará para evitar que el programa instalador, cuando lo ejecutemos, se conecte y envíe información a donde no nos interesa. En estos momentos ya procederemos paso a paso:

ejecutar Setup.exe -> Install -> Microsoft Visual Studio 2010 -> Custom -> dejar por defecto la ruta C:\Archivos de programa\Microsoft Visual Studio 10.0 -> pulsar Next -> desmarcar todo excepto Microsoft Visual Studio Ultimate y Visual C# -> Instalar.

La operación es muy lenta, tanto que hasta se vuelve desesperante, pero por fin llega el momento en el que se deberá pulsar un botón para reiniciar (el reinicio es automático pero también tarda lo suyo). Una vez reiniciado el sistema, si la instalación no prosigue habrá que ejecutar de nuevo el Setup.exe del DVD-Rom. La instalación continuará de nuevo, muy lentamente, por lo que habrá que armarse de paciencia y comer un bocata, leer un libro o ver una película. Cuando finalice la instalación se deberá ir hasta:

Inicio -> Programas -> Microsoft Visual Studio 2010 -> Microsoft Visual Studio 2010
y seleccionar, por lógica, Visual C# Development Settings -> Start Visual Studio

y si funciona pues cerramos rápido el programa porque, como no sabremos por donde empezar, seguro que nos habrá entrado la cagalera.

Pero, ¡alto!. En el mundo underground de los hackers existe un principio empírico fundamental para la resolución de problemas graves: el Método ENSOR. Gracias a la aplicación del Método ENSOR descubrimos rápidamente que hay que proseguir con los siguientes pasos:

abrir la carpeta source que tenemos en el Escritorio y que contiene el programa esteganográfico sin compilar -> clic botón derecho sobre SteganoZip.sln -> Abrir con -> Microsoft Visual Studio 2010 -> se abre una ventana del programa que solicita una conversión -> Next -> crear un backup antes de la conversión

Next -> Finish -> marcar Retarget the project to .NET Framework 4 -> OK

OK -> Close -> cerrar el programa

En la carpeta source aparecerá una carpeta bin y en su interior dos más, Debug y Release. En Debug se encontrarán varios archivos del programa, pero aunque se ejecute SteganoZip.vshost.exe no funcionará. Falta un paso más.

Localizamos de nuevo en la carpeta source el archivo SteganoZip.sln -> clic botón derecho sobre él -> Abrir con -> Microsoft Visual Studio 2010 -> se abre el programa y vemos a su derecha una ventana a modo de explorador:

clic botón derecho en ella sobre SteganoZip -> Build

Ahora, si vamos a la carpeta Debug ya encontraremos todos los archivos para que el programa sea completamente operativo. En concreto el ejecutable se llama SteganoZip.exe y será el que deberemos ejecutar, apareciendo la ventana del programa Zipped Steganography:

ahora copiaremos esta carpeta Debug en el Escritorio /

Vamos a esteganografiar un archivo .TXT en un .ZIP.

Por ejemplo, creamos el archivo Youtube.txt y le copiamos el interesantísimo texto

http://www.youtube.com/results?search_query=popcorn+gsm

Luego lo comprimimos en .ZIP y ya tenemos el archivo Youtube.zip. Lo copiamos en la carpeta Debug.

Ejecutamos SteganoZip.exe -> localizamos el archivo comprimido con Browse y pulsamos en Open -> buscamos el archivo que queremos esteganografiar con el otro botón Browse (hemos creado para la ocasión un oculto.txt conteniendo en su interior el mensaje infosniper; aunque no importa para el experimento me hacía ilusión decirlo) -> Add -> Save changes

ahora hay que darle un nombre al nuevo archivo comprimido, por ejemplo Stego.zip -> cerrar el programa .


Continúa...

 

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Andy's picture

Muy interesante lo de ocultar un fichero dentro de un .ZIP

Enviado por Andy el 17 Noviembre 2010 - 11:54pm.

No sabía que pudiese hacerse.

Intentaré repetir los pasos que pones en el artículo para conseguir un fichero .ZIP "con sorpresa". Siempre es útil saber las técnicas del enemigo...

Con respecto al Visual Studio:

¿Sabes que hay versiones gratuitas de los compiladores de Microsoft?
Me refiero a versiones oficiales de Microsoft.

En esta página tienes todos los compiladores gratuitos disponibles de la serie 2010.

Puedes elegir entre Visual Basic, Visual C#, Visual C++ (mi preferido, incluye Macro Assembler), Visual Web Developer, Windows Phone Developer Tools y hasta un .ISO que trae todo junto para que puedas instalar lo que quieras sin necesidad de estar conectado a Internet.

Así al menos te ahorras todo eso de bajarte el Ultimate que es bastante grande.

Por cierto, aquí puedes encontrar todas las versiones trial sin necesidad de sumergirte en las profundidades de Google para buscar el URL.

Un saludo,
Andy

infosniper's picture

Respecto a los enlaces

Enviado por infosniper el 18 Noviembre 2010 - 4:00pm.

Respecto al primer enlace que citas, http://www.microsoft.com/express/Downloads/Download-2010.aspx, he de decirte que he entrado con un Firefox sandboxed y ni activando el Javascript me ha dejado descargar nada. He entrado a esa misma página con Internet Explorer, también sandboxed, y mira tú por donde tampoco me deja hacer nada. ¿Y sabes por qué?. Pues porque tengo prohibida la aceptación de Controles ActiveX por mi navegador. Simple precaución que por lo visto en Microsoft no cae muy bien.

Respecto al otro enlace que tanbién ofreces, http://www.microsoft.com/visualstudio/en-us/download, ahí sí te deja descargar, ¿pero el qué?. Pues un pequeño programita que te conecta a un servidor de Microsoft para descargar el resto de la versión trial.

A ver, cada uno es libre de hacer con su ordenador lo que quiera, pero en mi caso le tengo especial alergia a los programas que durante su instalación me piden estar conectados a internet. Llámalo paranoia o llámalo precaución, pero servidor no se fía un pelo de ellos. De ahí que en el artículo ponga un único enlace directo a todo un Visual Studio 2010 Ultimate. Además, es que cuando vi su precio no pude resistir la tentación de soltar una de las mías. Cada uno es como es...

infosniper
http://sites.google.com/site/infosniper/

Andy's picture

Es lo que hay

Enviado por Andy el 18 Noviembre 2010 - 5:44pm.

Sin duda, M$ preferirá el IE antes que el FireFox o cualquier otro de la competencia. Eso no sorprende.

Pues porque tengo prohibida la aceptación de Controles ActiveX por mi navegador.

Las descargas son gratis en el sentido que no tienes que pagar por utilizarlas. Pero eso no significa que no tengas que hacer otras cosas.

Por ejemplo: esos productos gratis dejan de funcionar a los 30 días a menos que metas una clave. Dicha clave sólo puedes obtenerla si te registras en la web de descarga. Aquí tampoco nada fuera de lo común. VMware hace lo mismo para sus productos "gratuitos".

¿Que no quieres aceptar las cookies ni registrarte? Tu mismo.

Yo únicamente estaba puntualizando que existen alternativas legales y gratuitas (en el sentido "no de pago") para utilizar los compiladores de Microsoft. Luego está en cada uno ver si valen la pena o no.

Con respecto al ejecutable ese que te instala y te baja la ISO del Ultimate, no es más que una sucia treta para ocultar el URL de descarga que tú has pasado. El ejecutable lo único que hace es bajarlo por tí sin decirte desde dónde lo baja.

Al final dá igual, el asunto es compilar el bendito programa para comprobar cómo narices "esconde" ficheros dentro de ZIPs.

Espero con ansias la 2da parte.

Un saludo,
Andy

Agustín's picture

Casi ná

Enviado por Agustín el 18 Noviembre 2010 - 12:29am.

Me he perdido un poco después de cuando dice "Todo comenzó (...)" Y cuando llego al final ("arf, arf, arf") va el tío y dice "Continuará" ¿Continuará? ¿Cómo? ¿Es que luego se complica más?

No, en serio. Muy interesante. No sabía que se podía esteganografiar en un zip. Quedo a la espera de la próxima entrega.

---

admin's picture

Bueno, Agustín

Enviado por admin el 18 Noviembre 2010 - 9:02am.

La culpa del destrozo es mía y nada más que mía.

Infosniper me envió el artículo completo y fui yo quien decidió dividirlo en DOS. En parte porque no tenía tiempo para maquetarlo entero y en parte para no sobrecargar demasiado (en Kb) una sola página.

Esta misma tarde publico la segunda (y última) entrega.

mvr1981's picture

Estoy de gracioso...

Enviado por mvr1981 el 18 Noviembre 2010 - 12:38am.

Desde que descubrí la esteganografía, me olvide de la criptografía... ah, XD es genial hacer desaparecer algo que esta frente a los ojos como si nunca hubiese estado ahí...

P.D.: perdón si tiene algún error... :)...

00302504010816314604206112109709816803511817200613413308806314614800511605405905604516215
2125039144015013170

Agustín's picture

Preguntas

Enviado por Agustín el 18 Noviembre 2010 - 2:26am.

Me vas a deccir que me espere a la(s) siguiente(s) entregas; pero yo quisiera hacer una pregunta o dos: Creo entender que se genera un zip con un archivo visible (youtube.txt) y uno invisible (oculto.txt) Imagino que la longitud del zip final será mayor de lo que sería si sólo contuviera el archivo visible certo?. Es decir, que se trata de un zip con dos ficheros, pero que sólo uno de ellos es accesible a los programas descompresores. Lo digo porque no me imagino cómo podría incrustarse el fichero en los bytes de un zip propiamente dicho, sin que se alterara el contenido. Hacerlo en un fichero gráfico es muy fácil -hasta yo lo he conseguido- porque la información es muy redundante, pero en un fichero comprimido, propiamente dicho, debe ser imposible. Bueno, ya nos lo explicarás.

---

infosniper's picture

Esperad a ver las dos entregas

Enviado por infosniper el 18 Noviembre 2010 - 9:39am.

Y luego liaros a preguntar.

infosniper
http://sites.google.com/site/infosniper

Texpaok's picture

Esperaremos ansiosos

Enviado por Texpaok el 18 Noviembre 2010 - 12:19pm.

Pos nada, esperaremos ansiosos la segunda entrega!

Gran trabajo!

www.protegetuordenador.com