AI Hacking - Hogyan használják a hackerek a mesterséges intelligenciát a kibertámadásokban?

Olvassa el most
A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.

Hogyan állítsuk meg az SVG-alapú adathalász-támadásokat a Deep CDR segítségével Deep CDR

a Vinh Lam, vezető műszaki programmenedzser
Ossza meg ezt a bejegyzést

A támadók egyre gyakrabban használnak beágyazott JavaScriptet és Base64-kódolt hasznos terhet tartalmazó SVG-fájlokat, hogy adathalász oldalakat és rosszindulatú szoftvereket juttassanak el a hagyományos észlelés elől. A Deep CDR™, a MetaDefender Core™ egyik alapvető technológiája semlegesíti ezt a támadási osztályt azáltal, hogy eltávolítja az összes aktív tartalmat (szkriptek, külső hivatkozások, eseménykezelők stb.), és egy tiszta, szabványoknak megfelelő képet biztosít, amely megőrzi a funkcionalitást, miközben megszünteti a kockázatot. A normális, megbízható SVG-k (Scalable Vector Graphics - skálázható vektorgrafikák) nem igényelnek JavaScriptet, ezért azt alapértelmezés szerint eltávolítja.

Miért SVG

Tökéletes eszköz adathalászok számára

Az SVG egy XML-alapú vektoros képformátum, nem pedig egy egyszerű bittérkép.

Minta kódrészlet egy SVG-ből

Egy SVG fájl tartalmazhat:

  • Szkriptek
  • Eseménykezelők
  • Külső hivatkozások

Ezek a funkciók hasznosak az interaktív grafikákhoz, de a támadók kihasználják őket:

  • Rosszindulatú kód futtatása
  • Rosszindulatú XML-adatok beillesztése
  • Külső tartalom lekérése
  • Hamis bejelentkezési oldalak megjelenítése

A támadók az SVG-ket HTML/JS-csempészettel is kombinálják , amikor Base64 hasznos terhet ágyaznak be látszólag ártalmatlan képekbe, és futásidőben dekódolják azokat. Ezt a technikát most hivatalosan MITRE ATT&CK "SVG Smuggling" (T1027.017) néven követik nyomon.

A legfontosabb tanulságok

In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.

Mit látunk a vadonban

E-mail melléklet Base64-kódolt adathalászattal

  • Szállítás: svg csatolmányt tartalmaz, amelyet sok e-mail átjáró képként kezel.
  • Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.

Drive weboldal az eseménykezelők használatával az átirányításhoz

  • Szállítás: A kompromittált vagy elírásokkal tarkított webhely átlátszó SVG-felületet használ kattintható régiókkal.
  • Technika: Az eseményattribútumok (onload, onclick) Base64 dekódolással indítanak átirányítást.

Miért küzd itt az észlelés

A hagyományos megközelítések, mint például az aláírások, mintaszabályok és a statikus kódvizsgálat kudarcot vallanak, amikor a támadók:

  • Zavarás Base64, XOR, szövegkitöltés vagy polimorf sablonok segítségével.
  • A végrehajtás futásidőre történő elhalasztása (pl. onload), ami megbízhatatlanná teszi a statikus elemzést.
  • Rejtse el a logikát az olyan jogos SVG funkciók mögött, mint az eseménykezelők és a külső hivatkozások.

Érdekes tény

A HTTP Archive adatai szerint az SVG-t a top 1000 weboldal 92%-a használja ikonokra és grafikákra.

"Ha aktív, akkor kockázatos"

Deep CDR az SVG számára

ADeep CDR, a MetaDefender Core egyik alapvető technológiája nem próbálja kitalálni, hogy mi a rosszindulatú. Feltételezi, hogy a nem megbízható fájlokban található minden futtatható vagy aktív tartalom kockázatos, és eltávolítja vagy szanálja azokat.

Az SVG-k esetében ez azt jelenti:

  • Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
  • CDATA eltávolítása: Megszünteti a CDATA szakaszokba rejtett kódot, amely káros logikát ágyazhat be.
  • Távolítsa el a befecskendezést: Blokkolja a rosszindulatú programokat futtató bejuttatott tartalmakat.
  • Folyamatkép: Rekurzívan szanálja a beágyazott képeket és eltávolítja a külső képeket.
  • Normalizálás és újjáépítés: Csak biztonságos vizuális elemeket tartalmazó, szabványoknak megfelelő SVG-t hoz létre.
  • Opcionálisan Raszterizálás: Az SVG-t PNG-vé vagy PDF-vé alakítja át olyan munkafolyamatokhoz, amelyek nem igényelnek vektoros interaktivitást.

Ez a megközelítés összhangban van a biztonsági útmutatással: szanitizálja vagy homokdobozolja az SVG-ket (vagy raszterizálja őket) a kódfuttatás megakadályozása érdekében.

A Deep CDR legfontosabb felhasználási esetei

Email kapuk

A bejövő mellékletek és a kapcsolódó fájlok (letöltéssel megoldott URL-címek) kézbesítés előtti fertőtlenítése. A tiszta SVG-kre konvertált SVG-k megakadályozzák a hitelesítő adatgyűjtők renderelését és a letöltők tüzelését.

Együttműködési platformok

Alkalmazza a Deep CDR az olyan eszközökön keresztül megosztott fájlokra, mint a Teams, a Slack vagy a SharePoint. Az SVG-k szanálása itt biztosítja, hogy rejtett bejelentkezési képernyők vagy rosszindulatú szkriptek ne tudják becsapni a felhasználókat a mindennapi együttműködés során.

Webes feltöltési portálok

A webhelyekre, CMS-ekre vagy digitális eszközkezelő rendszerekre feltöltött összes fájl fertőtlenítésének kikényszerítése. Ez megakadályozza, hogy a támadók kártékony kódot rejtsenek el egy egyszerű logónak vagy grafikának látszó fájlban.

Fájlátvitel és MFT Managed File Transfer)

Integrálja a Deep CDR a fájlátviteli munkafolyamatokba, hogy minden fájl, különösen a partnerektől vagy szállítóktól származóak, biztonságosan használhatóak legyenek, mielőtt belépnének a hálózatába. Ez csökkenti a kompromittált eszközökből eredő ellátási lánc kockázatokat.

Üzleti hatás

Az SVG szanálás figyelmen kívül hagyása a következőkhöz vezethet:

  • Hitelesítési adatok ellopása: Hamis bejelentkezési oldalak begyűjtik a felhasználói hitelesítő adatokat.
  • Rosszindulatú fertőzések: Átirányítási láncok szállítanak zsarolóprogramokat vagy tolvajokat.
  • Megfelelőségi jogsértések: Az érzékeny adatokat érintő jogsértések bírságokat és hírnévkárosodást okozhatnak.

Legjobb gyakorlatok az SVG-alapú támadás megelőzésére

  • Alapértelmezett állás: Nem megbízható forrásból származó SVG-ben nincs JavaScript.
  • Fertőtlenítés vagy raszterizálás: Deep CDR alkalmazása minden bejövő SVG-fájlra.
  • CSP-vel kombinálva: Használja mélységi védelemként, ne elsődleges ellenőrzésként.
  • Audit és naplózás: Minden fertőtlenítési művelet nyomon követése a megfelelőség és a törvényszéki vizsgálat érdekében.

Záró gondolatok

Az SVG-alapú adathalászat nem elméleti kérdés, hanem most történik. Az észlelésen alapuló eszközök nem tudnak lépést tartani a fejlődő elhomályosítási technikákkal. Deep CDR determinisztikus, zéró bizalomra épülő megközelítést kínál, amely még azelőtt megszünteti a kockázatot, mielőtt az elérné a felhasználókat.

Maradjon naprakész az OPSWAT oldalon!

Iratkozzon fel még ma, hogy értesüljön a vállalat legfrissebb híreiről, történetekről, eseményinformációkról és sok másról.