Attackers increasingly weaponize SVG files with embedded JavaScript and Base64‑encoded payloads to deliver phishing pages and malware while evading traditional detection. Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core™, neutralizes this class of attack by removing all active content (scripts, external references, event handlers, etc.) and delivering a clean, standards‑compliant image that preserves functionality while eliminating risk. Normal, trustworthy SVGs (Scalable Vector Graphics) do not need JavaScript, so it is removed by default.
Miért SVG
Tökéletes eszköz adathalászok számára
Az SVG egy XML-alapú vektoros képformátum, nem pedig egy egyszerű bittérkép.
Egy SVG fájl tartalmazhat:
- Szkriptek
- Eseménykezelők
- Külső hivatkozások
Ezek a funkciók hasznosak az interaktív grafikákhoz, de a támadók kihasználják őket:
- Rosszindulatú kód futtatása
- Rosszindulatú XML-adatok beillesztése
- Külső tartalom lekérése
- Hamis bejelentkezési oldalak megjelenítése
A támadók az SVG-ket HTML/JS-csempészettel is kombinálják , amikor Base64 hasznos terhet ágyaznak be látszólag ártalmatlan képekbe, és futásidőben dekódolják azokat. Ezt a technikát most hivatalosan MITRE ATT&CK "SVG Smuggling" (T1027.017) néven követik nyomon.
A legfontosabb tanulságok
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Mit látunk a vadonban
E-mail melléklet Base64-kódolt adathalászattal
- Szállítás: svg csatolmányt tartalmaz, amelyet sok e-mail átjáró képként kezel.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Drive weboldal az eseménykezelők használatával az átirányításhoz
- Szállítás: A kompromittált vagy elírásokkal tarkított webhely átlátszó SVG-felületet használ kattintható régiókkal.
- Technika: Az eseményattribútumok (onload, onclick) Base64 dekódolással indítanak átirányítást.
Miért küzd itt az észlelés
A hagyományos megközelítések, mint például az aláírások, mintaszabályok és a statikus kódvizsgálat kudarcot vallanak, amikor a támadók:
- Zavarás Base64, XOR, szövegkitöltés vagy polimorf sablonok segítségével.
- A végrehajtás futásidőre történő elhalasztása (pl. onload), ami megbízhatatlanná teszi a statikus elemzést.
- Rejtse el a logikát az olyan jogos SVG funkciók mögött, mint az eseménykezelők és a külső hivatkozások.
Érdekes tény
A HTTP Archive adatai szerint az SVG-t a top 1000 weboldal 92%-a használja ikonokra és grafikákra.
"Ha aktív, akkor kockázatos"
Deep CDR™ Technology for SVG
Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core, doesn’t try to guess what is malicious. It assumes any executable or active content in untrusted files is risky and removes or sanitizes it.
Az SVG-k esetében ez azt jelenti:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- CDATA eltávolítása: Megszünteti a CDATA szakaszokba rejtett kódot, amely káros logikát ágyazhat be.
- Távolítsa el a befecskendezést: Blokkolja a rosszindulatú programokat futtató bejuttatott tartalmakat.
- Folyamatkép: Rekurzívan szanálja a beágyazott képeket és eltávolítja a külső képeket.
- Normalizálás és újjáépítés: Csak biztonságos vizuális elemeket tartalmazó, szabványoknak megfelelő SVG-t hoz létre.
- Opcionálisan Raszterizálás: Az SVG-t PNG-vé vagy PDF-vé alakítja át olyan munkafolyamatokhoz, amelyek nem igényelnek vektoros interaktivitást.
Ez a megközelítés összhangban van a biztonsági útmutatással: szanitizálja vagy homokdobozolja az SVG-ket (vagy raszterizálja őket) a kódfuttatás megakadályozása érdekében.
Top Use Cases with Deep CDR™ Technology
Email kapuk
A bejövő mellékletek és a kapcsolódó fájlok (letöltéssel megoldott URL-címek) kézbesítés előtti fertőtlenítése. A tiszta SVG-kre konvertált SVG-k megakadályozzák a hitelesítő adatgyűjtők renderelését és a letöltők tüzelését.
Együttműködési platformok
Apply Deep CDR™ Technology to files shared through tools like Teams, Slack, or SharePoint. Sanitizing SVGs here ensures that no hidden login screens or malicious scripts can trick users during everyday collaboration.
Webes feltöltési portálok
A webhelyekre, CMS-ekre vagy digitális eszközkezelő rendszerekre feltöltött összes fájl fertőtlenítésének kikényszerítése. Ez megakadályozza, hogy a támadók kártékony kódot rejtsenek el egy egyszerű logónak vagy grafikának látszó fájlban.
Fájlátvitel és MFT Managed File Transfer)
Integrate Deep CDR™ Technology into file transfer workflows so every file, especially those from partners or vendors, is safe to use before entering your network. This reduces supply chain risks from compromised assets.
Üzleti hatás
Az SVG szanálás figyelmen kívül hagyása a következőkhöz vezethet:
- Hitelesítési adatok ellopása: Hamis bejelentkezési oldalak begyűjtik a felhasználói hitelesítő adatokat.
- Rosszindulatú fertőzések: Átirányítási láncok szállítanak zsarolóprogramokat vagy tolvajokat.
- Megfelelőségi jogsértések: Az érzékeny adatokat érintő jogsértések bírságokat és hírnévkárosodást okozhatnak.
Legjobb gyakorlatok az SVG-alapú támadás megelőzésére
- Alapértelmezett állás: Nem megbízható forrásból származó SVG-ben nincs JavaScript.
- Sanitize or rasterize: Apply Deep CDR™ Technology to all inbound SVG files.
- CSP-vel kombinálva: Használja mélységi védelemként, ne elsődleges ellenőrzésként.
- Audit és naplózás: Minden fertőtlenítési művelet nyomon követése a megfelelőség és a törvényszéki vizsgálat érdekében.
Záró gondolatok
SVG-based phishing is not theoretical, it’s happening now. Detection-based tools can’t keep up with evolving obfuscation techniques. Deep CDR™ Technology offers a deterministic, zero-trust approach, removing the risk before it reaches your users.
