A támadók egyre gyakrabban használnak fegyverként olyan SVG-fájlokat, amelyekbe JavaScript-kódot és Base64-kódolású hasznos adatokat ágyaznak be, hogy így adathalász oldalakat és rosszindulatú programokat juttassanak el a felhasználókhoz, miközben elkerülik a hagyományos észlelési módszereket. A Deep CDR™ technológia – amely MetaDefender egyik alapvető technológiája – semlegesíti ezt a támadási típust azáltal, hogy eltávolítja az összes aktív tartalmat (szkripteket, külső hivatkozásokat, eseménykezelőket stb.), és egy tiszta, szabványoknak megfelelő képet szolgáltat, amely megőrzi a funkcionalitást, miközben kiküszöböli a kockázatot. A normál, megbízható SVG-fájlok (Scalable Vector Graphics) nem igényelnek JavaScriptet, ezért azt alapértelmezés szerint eltávolítja a rendszer.
Miért SVG
Tökéletes eszköz adathalászok számára
Az SVG egy XML-alapú vektoros képformátum, nem pedig egy egyszerű bittérkép.
Egy SVG fájl tartalmazhat:
- Szkriptek
- Eseménykezelők
- Külső hivatkozások
Ezek a funkciók hasznosak az interaktív grafikákhoz, de a támadók kihasználják őket:
- Rosszindulatú kód futtatása
- Rosszindulatú XML-adatok beillesztése
- Külső tartalom lekérése
- Hamis bejelentkezési oldalak megjelenítése
A támadók az SVG-ket HTML/JS-csempészettel is kombinálják , amikor Base64 hasznos terhet ágyaznak be látszólag ártalmatlan képekbe, és futásidőben dekódolják azokat. Ezt a technikát most hivatalosan MITRE ATT&CK "SVG Smuggling" (T1027.017) néven követik nyomon.
A legfontosabb tanulságok
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Mit látunk a vadonban
E-mail melléklet Base64-kódolt adathalászattal
- Szállítás: svg csatolmányt tartalmaz, amelyet sok e-mail átjáró képként kezel.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Drive weboldal az eseménykezelők használatával az átirányításhoz
- Szállítás: A kompromittált vagy elírásokkal tarkított webhely átlátszó SVG-felületet használ kattintható régiókkal.
- Technika: Az eseményattribútumok (onload, onclick) Base64 dekódolással indítanak átirányítást.
Miért küzd itt az észlelés
A hagyományos megközelítések, mint például az aláírások, mintaszabályok és a statikus kódvizsgálat kudarcot vallanak, amikor a támadók:
- Zavarás Base64, XOR, szövegkitöltés vagy polimorf sablonok segítségével.
- A végrehajtás futásidőre történő elhalasztása (pl. onload), ami megbízhatatlanná teszi a statikus elemzést.
- Rejtse el a logikát az olyan jogos SVG funkciók mögött, mint az eseménykezelők és a külső hivatkozások.
Érdekes tény
A HTTP Archive adatai szerint az SVG-t a top 1000 weboldal 92%-a használja ikonokra és grafikákra.
"Ha aktív, akkor kockázatos"
Deep CDR™ technológia SVG-hez
A Deep CDR™ technológia, a MetaDefender Core egyik alapvető technológiája , nem próbálja kitalálni, mi számít rosszindulatúnak. Feltételezi, hogy a megbízhatatlan fájlokban található bármely futtatható vagy aktív tartalom kockázatos, és eltávolítja vagy megtisztítja azt.
Az SVG-k esetében ez azt jelenti:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- CDATA eltávolítása: Megszünteti a CDATA szakaszokba rejtett kódot, amely káros logikát ágyazhat be.
- Távolítsa el a befecskendezést: Blokkolja a rosszindulatú programokat futtató bejuttatott tartalmakat.
- Folyamatkép: Rekurzívan szanálja a beágyazott képeket és eltávolítja a külső képeket.
- Normalizálás és újjáépítés: Csak biztonságos vizuális elemeket tartalmazó, szabványoknak megfelelő SVG-t hoz létre.
- Opcionálisan Raszterizálás: Az SVG-t PNG-vé vagy PDF-vé alakítja át olyan munkafolyamatokhoz, amelyek nem igényelnek vektoros interaktivitást.
Ez a megközelítés összhangban van a biztonsági útmutatással: szanitizálja vagy homokdobozolja az SVG-ket (vagy raszterizálja őket) a kódfuttatás megakadályozása érdekében.
A Deep CDR™ technológia legfontosabb alkalmazási területei
Email kapuk
A bejövő mellékletek és a kapcsolódó fájlok (letöltéssel megoldott URL-címek) kézbesítés előtti fertőtlenítése. A tiszta SVG-kre konvertált SVG-k megakadályozzák a hitelesítő adatgyűjtők renderelését és a letöltők tüzelését.
Együttműködési platformok
Alkalmazzuk a Deep CDR™ technológiát az olyan eszközökön keresztül megosztott fájlokra, mint a Teams, a Slack vagy a SharePoint. Az SVG-fájlok itt történő tisztítása biztosítja, hogy a mindennapi együttműködés során semmilyen rejtett bejelentkezési képernyő vagy rosszindulatú szkript ne tudjon megtéveszteni a felhasználókat.
Webes feltöltési portálok
A webhelyekre, CMS-ekre vagy digitális eszközkezelő rendszerekre feltöltött összes fájl fertőtlenítésének kikényszerítése. Ez megakadályozza, hogy a támadók kártékony kódot rejtsenek el egy egyszerű logónak vagy grafikának látszó fájlban.
Fájlátvitel és MFT Managed File Transfer)
Építse be a Deep CDR™ technológiát a fájlátviteli munkafolyamatokba, hogy minden fájl – különösen a partnerektől vagy beszállítóktól érkező fájlok – biztonságosan használható legyen, mielőtt a hálózatába kerülne. Ezzel csökkenthetők az érintett eszközökből fakadó ellátási lánc kockázatai.
Üzleti hatás
Az SVG szanálás figyelmen kívül hagyása a következőkhöz vezethet:
- Hitelesítési adatok ellopása: Hamis bejelentkezési oldalak begyűjtik a felhasználói hitelesítő adatokat.
- Rosszindulatú fertőzések: Átirányítási láncok szállítanak zsarolóprogramokat vagy tolvajokat.
- Megfelelőségi jogsértések: Az érzékeny adatokat érintő jogsértések bírságokat és hírnévkárosodást okozhatnak.
Legjobb gyakorlatok az SVG-alapú támadás megelőzésére
- Alapértelmezett állás: Nem megbízható forrásból származó SVG-ben nincs JavaScript.
- Tisztítás vagy raszterizálás: Alkalmazzuk a Deep CDR™ technológiát az összes beérkező SVG-fájlra.
- CSP-vel kombinálva: Használja mélységi védelemként, ne elsődleges ellenőrzésként.
- Audit és naplózás: Minden fertőtlenítési művelet nyomon követése a megfelelőség és a törvényszéki vizsgálat érdekében.
Záró gondolatok
Az SVG-alapú adathalászat nem csupán elméleti veszély, hanem már ma is valós probléma. Az észlelésen alapuló eszközök nem tudnak lépést tartani a folyamatosan fejlődő álcázási technikákkal. A Deep CDR™ technológia egy determinisztikus, zéró bizalmi megközelítést kínál, amely még mielőtt a felhasználókhoz eljutna, kiküszöböli a kockázatot.
