Naplófájlok, riasztások és telemetriai adatok továbbítása adatdiódán keresztül

Tudja meg, hogyan
A nem angol nyelvű oldalak fordításokhoz AI-t használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os az eredmény. Megértését nagyra értékeljük.

Az SVG-formátumban terjesztett kártevő programok elárasztják az e-maileket. Íme, mi képes ténylegesen megakadályozni őket.

A fájl nem tartalmaz makrót, futtatható fájlt vagy ismert szignatúrát. Ehelyett egy szkriptet tartalmaz, amely akkor fut le, amikor a böngésző megnyitja a fájlt. Éppen ezért a biztonsági szakemberek újraértékelik a mellékletek kézbesítés előtti kezelésének módját.
Írta: David Mitchell, termékért felelős alelnök
Ossza meg ezt a bejegyzést

A legfontosabb tudnivalók

  • Az SVG-fájlok nem bináris képadatok, mint például a JPEG vagy a PNG. XML-alapúak, és tartalmazhatnak futtatható szkriptet, amelyet a böngésző a megnyitáskor azonnal végrehajt.
  • A Hoxhunt 2026-os adathalászati trendekről szóló jelentése szerint a rosszindulatú SVG-mellékletek száma 2025-ben ötszörösére nőtt 2024-hez képest, és jelenleg világszerte a harmadik leggyakoribb rosszindulatú e-mail-melléklet-típusnak számítanak.
  • Minden SVG-adatcsomagot a címzett e-mail-címéhez igazítanak. Az átirányítási célcím fel van osztva, több változóra titkosítva, és csak futásidőben áll össze, így a fájlt statikusan beolvasó bármely szkennelő számára értelmetlen karakterláncként jelenik meg.
  • A hagyományos észlelés az ismert támadási minták felismerésén alapul, akár szignatúrák, akár heurisztikák segítségével.
  • A Deep CDR™ technológia eltávolítja az aktív tartalmakat a támogatott képfájlokból, mielőtt azok eljutnának a felhasználóhoz, függetlenül attól, hogy a fenyegetést korábban már észlelték-e. Nincs szükség szignatúrára, és nem szükséges, hogy a rendszer korábban már találkozott volna vele.

Nincs makró. Nincs futtatható fájl. Csak egy kép, amely képes szkriptet futtatni.

2026. június 2-án Xavier Mertens, a SANS Internet Storm Center munkatársa közzétett egy elemzést egy új adathalász-kampányról, amelynek üzenetei már több napja érkeztek a beérkező levelei közé. Az egyes e-mailek melléklete egy SVG-fájl volt, olyan fájltípus, amelyet a legtöbb ember ikonokkal, illusztrációkkal és webes grafikákkal társít. Semmi sem utalt arra, hogy veszélyt jelentene.

A dupla kattintás után megnyílt az alapértelmezett böngésző, a beágyazott szkript észrevétlenül futott le, majd a böngésző átirányította a felhasználót egy olyan oldalra, amely a címzett e-mail-címéhez igazodva a bejelentkezési adatok ellopására szolgált. Semmi sem utalt arra, hogy bármi is történt volna, amíg már túl késő nem lett.

A támadáshoz nem volt szükség sem speciális szoftverre, sem makrókat tartalmazó dokumentumra, sem pedig a melléklet megnyitására irányuló ösztönös cselekvésen túlmutató felhasználói engedélyre. Az egész mechanizmus egy általános feltételezésen alapult: miszerint a képfájlok természetüknél fogva alacsony kockázatúak.

A JPEG megjeleníti, az SVG végrehajtja. Ez a különbség jelenti a támadási felületet.

Ez a feltételezés érthető. A JPEG- és PNG-fájlok pixeladatokként kerülnek megjelenítésre, ami fájlszinten korlátozza a támadási felületüket.

Az SVG más. XML-ben (Extensible Markup Language) íródik, ugyanabban a jelölőnyelvben, amely a weboldalak alapját képezi, ami azt jelenti, hogy egy SVG-fájl tartalmazhat szkriptcímkéket, hivatkozási elemeket és egyéb aktív webtartalmakat, amelyeket a böngésző ugyanúgy feldolgoz, mint bármely más weboldalt.

Ezt a sebezhetőséget használják ki a támadók. A Mertens által elemzett kampányban szereplő fájlok egyáltalán nem tartalmaztak grafikai elemeket. Pusztán kódból álltak: elrejtett JavaScript-kódból, amelyet a lehető legvékonyabb SVG-burkolatba csomagoltak, ahol az SVG-konténer egyetlen célból létezett: hogy eljusson az áldozat böngészőjébe, miközben az e-mail-átjáró kép-mellékletként osztályozza.

Miért vált ez sürgető kérdéssé?

Az SVG mint támadási vektor nem új keletű, de széles körű használata felgyorsult. A kutatók már 2017 körül óta dokumentálnak rosszindulatú SVG-mellékleteket az e-mailekben, ami felveti a kézenfekvő kérdést: mi változott, hogy ez ma már olyan problémává vált, amelyről érdemes beszélni?

Elsősorban két dolog változott.

Először is, a támadások mértéke drámaian megnőtt. A rosszindulatú SVG-mellékletek száma 2025-ben ötvenszeresére nőtt 2024-hez képest (Hoxhunt 2026-os adathalászati trendjelentés), és egy 2026. februári kampány során a Microsoft 1,2 millió SVG-alapú adathalász üzenet kézbesítését regisztrálta több mint 53 000 szervezetnek 23 országban. A technika nem új, de ipari szintű elterjedése az.

Másodszor, a biztonsági környezet olyan irányba változott, ami az SVG-t vonzóbbá tette. A Microsoft 2022-ben alapértelmezés szerint letiltotta az Office-makrókat, a PDF-alapú fenyegetéseket szigorúbban ellenőrizték, és az SVG viszonylag tiszta hírnévvel érkezett számos hálózati átjáróhoz, ami azt jelentette, hogy a legkisebb ellenállás útját követő támadók gyorsan nagyon vonzónak találták az SVG-t.

A Mertens által dokumentált kiskapu-technika nagyon finom. Az SVG-be ágyazott JavaScript-kódot nem a szokásos „text/javascript”, hanem az „application/ecmascript” típusként deklarálják, és bár a böngészők mindkettőt azonos módon kezelik, és mindkét típusú címkével ellátott szkripteket végrehajtják, a támadás pontosan abból fakad, hogy eltérés van a böngészők által elfogadott és a biztonsági eszközök által ellenőrzött tartalom között.

Amikor az RFC 9239 2022-ben frissítette a szabványt, a biztonsági szoftvergyártók ezt követve eltávolították az „application/ecmascript” típust az ellenőrzési listáikról . A visszafelé kompatibilitás érdekében kialakított böngészők azonban ennek ellenére továbbra is feldolgozták ezt a típust. A szabvány szerint a típus már nem használatos. A böngészők azonban soha nem kapták meg ezt az értesítést.

Ennek eredményeként tartós rés keletkezett. Az „application/ecmascript” nem új vagy ismeretlen azonosító, hanem története egészen a 2000-es évek elejéig nyúlik vissza. Nem a támadók találták ki. Ők csak észrevették, hogy az RFC-átállás aszimmetriát teremtett a régi viselkedést követő böngészők és az új szabványt érvényesítő szkennerek között, és ez az aszimmetria nem szűnik meg magától. Bármely átjáró, amely nem vette kifejezetten vissza a már elavult ECMAScript MIME-aliasokat az ellenőrzési szabályai közé, továbbra is sebezhető marad – nem azért, mert elavult lenne, hanem azért, mert olyan szabványt valósított meg, amelyet a böngészők nem követtek.

Hogyan személyre szabják a támadást annak érdekében, hogy eljusson a beérkező levelek mappájába

A címzett címe Base64-kódolással van kódolva, és közvetlenül az SVG-fájl tartalmába van beágyazva, ami azt jelenti, hogy a kampány minden egyes melléklete egyedi, személyre szabott adathalász URL-t generál, amely egy konkrét címzettre irányul, szinte nulla költséggel.

Ez a szintű személyre szabás azért fontos, mert kijátsza azokat a heurisztikákat, amelyek az általános kampányokat kiszűrik, mivel nincs ismétlődő tartalom, nincs közös átirányítási URL, és nincs olyan minta, amely a tömeges adathalász-támadásokhoz hasonlóan a címzettek egészére kiterjedne.

Az átirányítás célpontját Base64-kódolással kódolják, majd futásidőben két különálló változóból összeállított kulccsal titkosítják. Ez nem bonyolult kriptográfia, de az automatizált szkennerek ellen éppen a kulcs összeállítása teszi hatékonnyá a módszert.

Az elrejtést visszafordítani próbáló észlelési rendszereknek ismerniük kell mind az algoritmust, mind a kulcsot, és a kulcs ebben az esetben sehol sem létezik egyetlen értékként a fájlban. Két változóra van felosztva, és csak futáskor kerül összefűzésre, ami azt jelenti, hogy egy szkennelő program nem tudja rekonstruálni a cél-URL-t anélkül, hogy előbb feloldaná a futásidejű összeállítást, amihez a szkript futtatása szükséges, nem pedig csupán annak elolvasása. A statikus elemzés alig ad használható eredményt, és a hasznos adatcsomag csak élő böngészői környezetben olvasható, ami pontosan az a hely, ahol a legtöbb átjáró-ellenőrzés nem történik meg.

Bármelyik elkerülési réteg önmagában felfedezhető lenne, de ha ezeket egymásra építik – azaz egy képként kategorizált mellékletformátumot, egy elavult MIME-típust, egy titkosított hasznos adatot és egy olyan legfelső szintű domainen található cél-domainet, amelynek visszaéléses használata eddig korlátozott volt –, akkor ezek együttesen jelentősen növelik annak valószínűségét, hogy az üzenet beérkezzen a beérkező levelek mappájába.

A tűzfal nem hibásodott meg. A támadás elkerülte az észlelést.

Az észlelésen alapuló e-mail-biztonság egy alapvető kérdésen alapul: ez a fájl egyezik-e egy ismert vagy felismerhető fenyegetéssel? Hatékonysága az előzetes ismeretektől függ, legyen szó akár szignatúrákról, akár viselkedési mintákról.

Ez a függőség az a strukturális korlát, amelyet ez a kampány feltár. A többszintű elrejtés miatt a víruskeresőnek valóban alig van mit felfedeznie, az SVG-kategóriába sorolás pedig azt jelenti, hogy a fájl nem feltétlenül kerül ugyanolyan alapos vizsgálat alá, mint egy Office-dokumentum vagy egy futtatható fájl. Ha az átjáród az SVG-t képformátumként osztályozza, és ennek megfelelően enyhébb ellenőrzést alkalmaz, akkor ez a kampány valószínűleg nem került kiszűrésre az átjáró szintjén. Ez egy olyan eset, amikor a támadás az észlelési rendszer értékelési határain kívül zajlik.

Ez nem azt jelenti, hogy az észlelés nem működik. Az ismert fenyegetések ellen jól működik, és nélküle egyetlen e-mail-biztonsági rendszer sem hatékony. A kérdés az, hogy mi történik olyan teljesen új fenyegetésekkel, amelyekkel az észlelési rendszerek még soha nem találkoztak.

A „megelőzés elsődleges” elv azt jelenti, hogy minden aktív tartalmat megelőző jelleggel eltávolítunk

A „megelőzés elsődleges” megközelítés a felderítés mellett egy kiegészítő intézkedést is bevezet: tartalmaz-e ez a fájl még mindig aktív tartalmat?

A Deep CDR™ technológia nem próbálja megállapítani, hogy egy fájl rosszindulatú-e. Ehelyett lebontja a fájlt, eltávolítja az esetlegesen rosszindulatú vagy a szabályzatnak nem megfelelő elemeket, majd egy megtisztított, használható változatot szolgáltat. Aktív szkriptet tartalmazó SVG-fájl esetében ez azt jelenti, hogy a felhasználó olyan fájlt kap, amely a szándéknak megfelelően jelenik meg, ha legitim grafikai tartalom van benne, de a támadást lehetővé tevő szkript nélkül.

Ezt a megközelítést igazolja az a tény, hogy a Deep CDR™ technológia az SE Labs tartalom-semlegesítési és -rekonstruálási tesztjén az első olyan CDR-megoldásként elérte a 100%-os védelmi és pontossági pontszámot, amely valaha is létezett.

Nem minden fenyegetést lehet pusztán a tisztítási eljárással semlegesíteni. Az elkerülő típusú hasznos terhelések – vagyis azok a fájlok, amelyeket úgy terveztek, hogy statikus elemzés során ártalmatlannak tűnjenek, és csak futásidőben aktiválódjanak – olyan viselkedésalapú vizsgálatot igényelnek, amely túlmutat a tisztítási eljárás hatókörén. AMetaDefender dinamikus sandbox pótolja ezt a hiányosságot: emuláció segítségével feltárja a rosszindulatú viselkedést, és egyetlen, megbízható eredményt ad vissza. 99,9%-os zero-day arányával Aether azokat a fennmaradó kockázatokat, amelyekre a tisztítás és multiscanning nem nyújt megoldást.

Egy figyelemre méltó minta az SVG-n túl

Az SVG a jelenlegi példa, de nem ez lesz az utolsó. A jelenség nem korlátozódik az SVG-re: bármely olyan fájlformátum, amely legitimnek tűnik, miközben végrehajtható tartalmat rejt, szintén ilyen kezelésre számíthat.

A HTML-mellékletek segítségével a kártékony kódok átjutnak a biztonsági átjárókon. A PDF-fájlokba ágyazott QR-kódok hitelesítő adatokat gyűjtő oldalakra irányítanak át. A rejtett kódok a képek metaadatai között rejtőznek. Mindegyik esetben a fájl szerkezeti szinten pontosan az, aminek látszik, miközben olyan tartalmat hordoz, amelyet a felszíni osztályozási ellenőrzés soha nem volt hivatott felismerni.

A tanulság nem az, hogy bármely konkrét formátum veszélyes lenne. Hanem az, hogy a „ez a fájl ártalmatlannak tűnik” érv már nem szolgálhat megalapozott indokként a kézbesítési döntéseknél. Ha egy fájl minden észlelési ellenőrzésen átmegy, akkor automatikusan kézbesíteni kell-e, vagy mindenképpen megtisztítani kell?

Hogyan OPSWAT a többrétegű megközelítést Email Security terén?

A támadók nap mint nap abból a feltételezésből indulnak ki, hogy a felderítés jelenti az utolsó védelmi vonalat. Számunkra ez egy többrétegű megközelítés része, amely különböző technológiákat ötvöz, hogy ügyfeleink számára a lehető legnagyobb biztonságot nyújtsuk a hálózati peremterületen. A MetaDefender™ Email Security ezt a logikát két telepítési modellben alkalmazza:

  • MetaDefender™ Email Gateway Security megoldás helyszíni telepítésű szoftverként működik az SMTP/MX szinten. A több mint 200 fájltípust lefedő Deep CDR™ technológia eltávolítja az aktív tartalmakat minden mellékletből, és rekurzív módon átvizsgálja a beágyazott archívumokat a mélyreható tisztítás érdekében; a több mint 30 víruskereső motoron futó Metascan™ Multiscanning párhuzamosan végzi az észlelést, Predictive Alin AI milliszekundumok alatt döntést hoz arról, hogy a melléklet tartalmaz-e fenyegetéseket anélkül, hogy azokat futtatná, sandbox MetaDefender sandbox kezeli azokat a kitérő hasznos terheléseket, amelyek mélyebb viselkedéselemzést igényelnek, míg a Proactive DLP™ technológia több mint 125 fájltípus esetében megakadályozza az adat szivárgását a forrásnál.
  • MetaDefender™ Cloud Email Security megoldás ugyanazt a „megelőzés elsődleges” elvet alkalmazza a Microsoft 365 környezetekben, MX-rekordok módosítása, hardver beszerzése és az e-mail forgalom megzavarása nélkül. A Deep CDR™ technológia,Aether MetaDefender Aether, Multiscanning Metascan Multiscanning akár 17 víruskereső Multiscanning valamint Predictive Alin AI és megtisztítja a bejövő és kimenő e-mailek minden mellékletét, beleértve a titkosított fájlokat is, mielőtt azok eljutnának a felhasználóhoz.

Maradjon naprakész az OPSWAT oldalon!

Iratkozzon fel még ma, hogy értesüljön a vállalat legfrissebb híreiről, történetekről, eseményinformációkról és sok másról.