Tehnicile de atac bazate pe imagini, cum ar fi steganografia și poliglotul, nu sunt noi pentru echipele de securitate. În pofida soluțiilor existente pentru a reduce riscurile, actorii de amenințare elaborează în mod constant noi metode pentru a ascunde programe malware în formate de imagine de încredere. O tehnică avansată de atac bazată pe imagini este cunoscută sub numele de sarcini utile poliglot de scripting cross-site (XSS). Aceste sarcini utile exploatează imagini poliglote, care conțin atât o imagine validă, cât și cod sau scripturi ascunse. Aceste încărcături utile vizează în mod special vulnerabilitățile browserelor web pentru a efectua atacuri XSS care fură date sau instalează programe malware, evitând detectarea, cum ar fi restricțiile din cadrul politicii de securitate a conținutului (Content Security Policy - CSP).
Pentru a rămâne în fața acestor noi amenințări înșelătoare, organizațiile au nevoie de soluții de securitate de încredere zero care merg dincolo de detectarea riscurilor cunoscute și iau măsuri preventive pentru a se asigura că orice atac viitor este contracarat - indiferent dacă malware-ul este cunoscut sau nou. OPSWAT Deep Content Disarm and Reconstruction (CDR) previne atacurile secrete bazate pe imagini prin asanarea fișierelor de imagine, eliminarea oricărui cod potențial rău intenționat și reconstruirea acestora, astfel încât să poată fi utilizate în siguranță în orice mediu digital.
Nivelul de risc al vectorilor de atac al programelor malware bazate pe imagini
Steganografie
Steganografia imaginilor a fost observată pentru prima dată într-un atac cibernetic în 2011, cu ajutorul programului malware Duqu. În cadrul acestei campanii, informațiile au fost criptate și ascunse într-un fișier JPEG de bază, cu scopul de a extrage date din sistemul vizat. Steganografia este una dintre modalitățile prin care actorii rău intenționați trec neobservați. Aceasta încorporează încărcături malware în fișiere de imagine prin modificarea datelor pixelilor și rămâne complet nedetectată până la decodificare.
Cu toate acestea, steganografia funcționează numai dacă există un instrument de decodare disponibil, ceea ce o face să fie cea mai puțin sofisticată metodă de transmitere a programelor malware bazate pe imagini.
Poliglot
Considerat mai sofisticat decât steganografia, Polyglot necesită o combinație de două tipuri de fișiere diferite. De exemplu, PHAR + JPEG (arhive PHP și fișiere JPEG), GIFRAR (fișiere GIF și RAR), JS+ JPEG (fișiere JavaScript și JPEG), etc. Imaginile poliglot funcționează perfect ca și fișierele de imagine normale.
Cu toate acestea, ele pot fi, de asemenea, exploatate pentru a introduce în mod clandestin scripturi malițioase ascunse sau încărcături utile de date. Aceste încărcături utile ocolesc sistemele de apărare obișnuite și își execută atacurile încorporate atunci când sunt deschise în mediile vizate, cum ar fi browserele web. Pericolul poliglotului este că nu necesită un script pentru a extrage codul malițios; funcția browserului îl va executa automat.
Sarcini utile XSS Polyglot
Sarcinile utile poliglote XSS reprezintă un risc ridicat prin combinarea tehnicilor poliglote cu atacurile XSS. Aceste încărcături utile utilizează imagini poliglote pentru a ascunde scripturi care exploatează vulnerabilitățile browserului și ocolesc protecțiile cheie, cum ar fi CSP-urile. Acest lucru permite injectarea de scripturi mult mai periculoase în site-uri și aplicații de încredere.
Utilizarea imaginilor poliglote poate eluda anumite filtre de site-uri web care blochează găzduirea de conținut extern. Pentru a realiza acest lucru, structura HTML care precede injecția trebuie să fie legitimă, funcționând ca o variabilă validă. Procesul se bazează pe XSS pentru a interpreta conținutul injectat ca fiind JavaScript, ceea ce poate ocoli restricțiile privind încărcarea imaginilor, precum și politica de origine încrucișată și restricțiile din lista albă care urmează. Codul JavaScript este apoi găzduit pe site-ul specific în cauză, permițându-i să se execute în contextul în care a fost conceput.
Prevenirea avansată a amenințărilor cu Deep CDR
Deep CDR care a obținut un grad de protecție de 100% în SE Lab Report, este lider de piață în prevenirea amenințărilor bazate pe fișiere cunoscute și necunoscute, protejând împotriva programelor malware și a atacurilor de tip zero-day. Oferind caracteristici superioare, cum ar fi igienizarea recursivă și reconstrucția precisă a fișierelor, Deep CDR oferă fișiere sigure și utilizabile. În plus, acceptă sute de tipuri de fișiere, inclusiv PDF-uri, arhive și formate compatibile cu arhivele.
Înapoi în 2018, OPSWAT a acoperit două postări pe blog care explică riscul steganografiei și al poligloților și utilizarea Deep CDR pentru a preveni aceste tehnici de atac. În acest ghid, ne vom concentra mai mult pe sarcinile utile XSS Polyglot.
Exploatarea XSS folosind Polyglot JPEG și JavaScript pentru a ocoli CSP-urile
O sarcină utilă poliglotă XSS se poate executa în mai multe contexte, inclusiv HTML, șiruri de scripturi, JavaScript și URL-uri.
Agentul de amenințare va schimba apoi src valoarea atributului în index.html la numele fișierului de ieșire, rulați serverul HTTP și deschideți http://localhost:8000 în browser. Vedeți exemplele de mai jos.
Prevenirea XSS Polyglot pas cu pas cu Deep CDR
- Analizează structura imaginii pentru a o valida în raport cu specificațiile cunoscute ale imaginii de încredere. Deep CDR optimizează datele bitmap, elimină datele neutilizate și apoi procesează metadatele.
- Neutralizează potențialul malware prin extragerea încărcăturii utile pentru a elimina în siguranță scripturile și datele ascunse.
- Igienizează imaginile prin dezarmarea și eliminarea vectorilor de amenințare, păstrând în același timp imaginea în condiții de siguranță pentru utilizare. Utilizatorii vor vedea doar imaginea așa cum a fost concepută, fără coduri străine sau necunoscute cu potențial malițios.
Apărare în profunzime cu OPSWAT MetaDefender Platform
Mergând dincolo de imagini, platformaOPSWAT MetaDefender oferă protecție pe mai multe niveluri împotriva amenințărilor bazate pe fișiere. OPSWAT MetaDefender combate evoluția constantă a noilor tipuri de atacuri prin:
- Blocarea din start a sute de amenințări cunoscute.
- Aplicarea analizei comportamentale pentru a detecta amenințările de tip zero-day.
- Asigurarea faptului că fiecare fișier suspect este curățat sau blocat în siguranță.
Această abordare ecosistemică asigură securitatea celor mai sensibile date și sisteme, chiar și împotriva vectorilor de atac neconvenționali.
Gânduri finale
Pe măsură ce tehnicile adversarilor devin din ce în ce mai avansate, tehnologia de securitate trebuie să evolueze și mai rapid. OPSWAT se mândrește cu peste 20 de ani de experiență profundă în domeniul securității, încorporată în produse precum platforma MetaDefender și tehnologia Deep CDR . Această experiență reunește informații despre amenințări actualizate în permanență, algoritmi de detecție avansați și sisteme de apărare configurabile pe straturi pentru a opri atacurile înainte ca acestea să compromită organizația dumneavoastră.
Pentru a afla mai multe despre neutralizarea amenințărilor ascunse bazate pe imagini și consolidarea apărării de securitate a întreprinderilor cu OPSWAT MetaDefender , contactați echipa noastră astăzi. Când vine vorba de a fi mai isteți decât atacurile cibernetice de mâine, merită să instalați astăzi apărările de securitate adecvate.
