A támadók egyre gyakrabban használnak beágyazott JavaScriptet és Base64-kódolt hasznos terhet tartalmazó SVG-fájlokat, hogy adathalász oldalakat és rosszindulatú szoftvereket juttassanak el a hagyományos észlelés elől. A Deep CDR™, a MetaDefender Core™ egyik alapvető technológiája semlegesíti ezt a támadási osztályt azáltal, hogy eltávolítja az összes aktív tartalmat (szkriptek, külső hivatkozások, eseménykezelők stb.), és egy tiszta, szabványoknak megfelelő képet biztosít, amely megőrzi a funkcionalitást, miközben megszünteti a kockázatot. A normális, megbízható SVG-k (Scalable Vector Graphics - skálázható vektorgrafikák) nem igényelnek JavaScriptet, ezért azt alapértelmezés szerint eltávolítja.
Miért SVG
Tökéletes eszköz adathalászok számára
Az SVG egy XML-alapú vektoros képformátum, nem pedig egy egyszerű bittérkép.
Egy SVG fájl tartalmazhat:
- Szkriptek
- Eseménykezelők
- Külső hivatkozások
Ezek a funkciók hasznosak az interaktív grafikákhoz, de a támadók kihasználják őket:
- Rosszindulatú kód futtatása
- Rosszindulatú XML-adatok beillesztése
- Külső tartalom lekérése
- Hamis bejelentkezési oldalak megjelenítése
A támadók az SVG-ket HTML/JS-csempészettel is kombinálják , amikor Base64 hasznos terhet ágyaznak be látszólag ártalmatlan képekbe, és futásidőben dekódolják azokat. Ezt a technikát most hivatalosan MITRE ATT&CK "SVG Smuggling" (T1027.017) néven követik nyomon.
A legfontosabb tanulságok
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Mit látunk a vadonban
E-mail melléklet Base64-kódolt adathalászattal
- Szállítás: svg csatolmányt tartalmaz, amelyet sok e-mail átjáró képként kezel.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Drive weboldal az eseménykezelők használatával az átirányításhoz
- Szállítás: A kompromittált vagy elírásokkal tarkított webhely átlátszó SVG-felületet használ kattintható régiókkal.
- Technika: Az eseményattribútumok (onload, onclick) Base64 dekódolással indítanak átirányítást.
Miért küzd itt az észlelés
A hagyományos megközelítések, mint például az aláírások, mintaszabályok és a statikus kódvizsgálat kudarcot vallanak, amikor a támadók:
- Zavarás Base64, XOR, szövegkitöltés vagy polimorf sablonok segítségével.
- A végrehajtás futásidőre történő elhalasztása (pl. onload), ami megbízhatatlanná teszi a statikus elemzést.
- Rejtse el a logikát az olyan jogos SVG funkciók mögött, mint az eseménykezelők és a külső hivatkozások.
Érdekes tény
A HTTP Archive adatai szerint az SVG-t a top 1000 weboldal 92%-a használja ikonokra és grafikákra.
"Ha aktív, akkor kockázatos"
Deep CDR az SVG számára
ADeep CDR, a MetaDefender Core egyik alapvető technológiája nem próbálja kitalálni, hogy mi a rosszindulatú. Feltételezi, hogy a nem megbízható fájlokban található minden futtatható vagy aktív tartalom kockázatos, és eltávolítja vagy szanálja azokat.
Az SVG-k esetében ez azt jelenti:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- CDATA eltávolítása: Megszünteti a CDATA szakaszokba rejtett kódot, amely káros logikát ágyazhat be.
- Távolítsa el a befecskendezést: Blokkolja a rosszindulatú programokat futtató bejuttatott tartalmakat.
- Folyamatkép: Rekurzívan szanálja a beágyazott képeket és eltávolítja a külső képeket.
- Normalizálás és újjáépítés: Csak biztonságos vizuális elemeket tartalmazó, szabványoknak megfelelő SVG-t hoz létre.
- Opcionálisan Raszterizálás: Az SVG-t PNG-vé vagy PDF-vé alakítja át olyan munkafolyamatokhoz, amelyek nem igényelnek vektoros interaktivitást.
Ez a megközelítés összhangban van a biztonsági útmutatással: szanitizálja vagy homokdobozolja az SVG-ket (vagy raszterizálja őket) a kódfuttatás megakadályozása érdekében.
A Deep CDR legfontosabb felhasználási esetei
Email kapuk
A bejövő mellékletek és a kapcsolódó fájlok (letöltéssel megoldott URL-címek) kézbesítés előtti fertőtlenítése. A tiszta SVG-kre konvertált SVG-k megakadályozzák a hitelesítő adatgyűjtők renderelését és a letöltők tüzelését.
Együttműködési platformok
Alkalmazza a Deep CDR az olyan eszközökön keresztül megosztott fájlokra, mint a Teams, a Slack vagy a SharePoint. Az SVG-k szanálása itt biztosítja, hogy rejtett bejelentkezési képernyők vagy rosszindulatú szkriptek ne tudják becsapni a felhasználókat a mindennapi együttműködés során.
Webes feltöltési portálok
A webhelyekre, CMS-ekre vagy digitális eszközkezelő rendszerekre feltöltött összes fájl fertőtlenítésének kikényszerítése. Ez megakadályozza, hogy a támadók kártékony kódot rejtsenek el egy egyszerű logónak vagy grafikának látszó fájlban.
Fájlátvitel és MFT Managed File Transfer)
Integrálja a Deep CDR a fájlátviteli munkafolyamatokba, hogy minden fájl, különösen a partnerektől vagy szállítóktól származóak, biztonságosan használhatóak legyenek, mielőtt belépnének a hálózatába. Ez csökkenti a kompromittált eszközökből eredő ellátási lánc kockázatokat.
Üzleti hatás
Az SVG szanálás figyelmen kívül hagyása a következőkhöz vezethet:
- Hitelesítési adatok ellopása: Hamis bejelentkezési oldalak begyűjtik a felhasználói hitelesítő adatokat.
- Rosszindulatú fertőzések: Átirányítási láncok szállítanak zsarolóprogramokat vagy tolvajokat.
- Megfelelőségi jogsértések: Az érzékeny adatokat érintő jogsértések bírságokat és hírnévkárosodást okozhatnak.
Legjobb gyakorlatok az SVG-alapú támadás megelőzésére
- Alapértelmezett állás: Nem megbízható forrásból származó SVG-ben nincs JavaScript.
- Fertőtlenítés vagy raszterizálás: Deep CDR alkalmazása minden bejövő SVG-fájlra.
- CSP-vel kombinálva: Használja mélységi védelemként, ne elsődleges ellenőrzésként.
- Audit és naplózás: Minden fertőtlenítési művelet nyomon követése a megfelelőség és a törvényszéki vizsgálat érdekében.
Záró gondolatok
Az SVG-alapú adathalászat nem elméleti kérdés, hanem most történik. Az észlelésen alapuló eszközök nem tudnak lépést tartani a fejlődő elhomályosítási technikákkal. Deep CDR determinisztikus, zéró bizalomra épülő megközelítést kínál, amely még azelőtt megszünteti a kockázatot, mielőtt az elérné a felhasználókat.