Tehnicile de atac bazate pe imagini, cum ar fi steganografia și poliglotul, nu sunt noi pentru echipele de securitate. În pofida soluțiilor existente pentru a reduce riscurile, actorii de amenințare elaborează în mod constant noi metode pentru a ascunde programe malware în formate de imagine de încredere. O tehnică avansată de atac bazată pe imagini este cunoscută sub numele de sarcini utile poliglot de scripting cross-site (XSS). Aceste sarcini utile exploatează imagini poliglote, care conțin atât o imagine validă, cât și cod sau scripturi ascunse. Aceste încărcături utile vizează în mod special vulnerabilitățile browserelor web pentru a efectua atacuri XSS care fură date sau instalează programe malware, evitând detectarea, cum ar fi restricțiile din cadrul politicii de securitate a conținutului (Content Security Policy - CSP).
Pentru a rămâne în fața acestor noi amenințări înșelătoare, organizațiile au nevoie de soluții de securitate de încredere zero care merg dincolo de detectarea riscurilor cunoscute și iau măsuri preventive pentru a se asigura că orice atac viitor este contracarat - indiferent dacă malware-ul este cunoscut sau nou. OPSWAT Deep Content Disarm and Reconstruction (CDR) previne atacurile secrete bazate pe imagini prin asanarea fișierelor de imagine, eliminarea oricărui cod potențial rău intenționat și reconstruirea acestora, astfel încât să poată fi utilizate în siguranță în orice mediu digital.
Nivelul de risc al vectorilor de atac al programelor malware bazate pe imagini
Steganografie
Steganografia imaginilor a fost observată pentru prima dată într-un atac cibernetic în 2011, cu ajutorul programului malware Duqu. În cadrul acestei campanii, informațiile au fost criptate și ascunse într-un fișier JPEG de bază, cu scopul de a extrage date din sistemul vizat. Steganografia este una dintre modalitățile prin care actorii rău intenționați trec neobservați. Aceasta încorporează încărcături malware în fișiere de imagine prin modificarea datelor pixelilor și rămâne complet nedetectată până la decodificare.
Cu toate acestea, steganografia funcționează numai dacă există un instrument de decodare disponibil, ceea ce o face să fie cea mai puțin sofisticată metodă de transmitere a programelor malware bazate pe imagini.
Poliglot
Considerat mai sofisticat decât steganografia, Polyglot necesită o combinație de două tipuri de fișiere diferite. De exemplu, PHAR + JPEG (arhive PHP și fișiere JPEG), GIFRAR (fișiere GIF și RAR), JS+ JPEG (fișiere JavaScript și JPEG), etc. Imaginile poliglot funcționează perfect ca și fișierele de imagine normale.
Cu toate acestea, ele pot fi, de asemenea, exploatate pentru a introduce în mod clandestin scripturi malițioase ascunse sau încărcături utile de date. Aceste încărcături utile ocolesc sistemele de apărare obișnuite și își execută atacurile încorporate atunci când sunt deschise în mediile vizate, cum ar fi browserele web. Pericolul poliglotului este că nu necesită un script pentru a extrage codul malițios; funcția browserului îl va executa automat.
Sarcini utile XSS Polyglot
Sarcinile utile poliglote XSS reprezintă un risc ridicat prin combinarea tehnicilor poliglote cu atacurile XSS. Aceste încărcături utile utilizează imagini poliglote pentru a ascunde scripturi care exploatează vulnerabilitățile browserului și ocolesc protecțiile cheie, cum ar fi CSP-urile. Acest lucru permite injectarea de scripturi mult mai periculoase în site-uri și aplicații de încredere.
Utilizarea imaginilor poliglote poate eluda anumite filtre de site-uri web care blochează găzduirea de conținut extern. Pentru a realiza acest lucru, structura HTML care precede injecția trebuie să fie legitimă, funcționând ca o variabilă validă. Procesul se bazează pe XSS pentru a interpreta conținutul injectat ca fiind JavaScript, ceea ce poate ocoli restricțiile privind încărcarea imaginilor, precum și politica de origine încrucișată și restricțiile din lista albă care urmează. Codul JavaScript este apoi găzduit pe site-ul specific în cauză, permițându-i să se execute în contextul în care a fost conceput.
Advanced Threat Prevention with Deep CDR™ Technology
Deep CDR™ Technology, which achieved a 100% protection rating in the SE Lab Report, is a market leader in preventing both known and unknown file-based threats, safeguarding against malware and zero-day attacks. Offering superior features such as recursive sanitization and precise file reconstruction, Deep CDR™ Technology delivers safe and usable files. Additionally, it supports hundreds of file types, including PDFs, archives, and formats compatible with archives.
Back in 2018, OPSWAT covered two blog posts explaining the risk of steganography and polyglots and using Deep CDR™ Technology to prevent these attack techniques. In this guide, we will focus more on the XSS Polyglot Payloads.
Exploatarea XSS folosind Polyglot JPEG și JavaScript pentru a ocoli CSP-urile
O sarcină utilă poliglotă XSS se poate executa în mai multe contexte, inclusiv HTML, șiruri de scripturi, JavaScript și URL-uri.
Agentul de amenințare va schimba apoi src valoarea atributului în index.html la numele fișierului de ieșire, rulați serverul HTTP și deschideți http://localhost:8000 în browser. Vedeți exemplele de mai jos.
Preventing XSS Polyglot step-by-step with Deep CDR™ Technology
- Analyzes image structure to validate against known trusted image specifications. Deep CDR™ Technology optimizes bitmap data, removes unused data, and then processes metadata.
- Neutralizează potențialul malware prin extragerea încărcăturii utile pentru a elimina în siguranță scripturile și datele ascunse.
- Igienizează imaginile prin dezarmarea și eliminarea vectorilor de amenințare, păstrând în același timp imaginea în condiții de siguranță pentru utilizare. Utilizatorii vor vedea doar imaginea așa cum a fost concepută, fără coduri străine sau necunoscute cu potențial malițios.
Apărare în profunzime cu OPSWAT MetaDefender Platform
Mergând dincolo de imagini, platformaOPSWAT MetaDefender oferă protecție pe mai multe niveluri împotriva amenințărilor bazate pe fișiere. OPSWAT MetaDefender combate evoluția constantă a noilor tipuri de atacuri prin:
- Blocarea din start a sute de amenințări cunoscute.
- Aplicarea analizei comportamentale pentru a detecta amenințările de tip zero-day.
- Asigurarea faptului că fiecare fișier suspect este curățat sau blocat în siguranță.
Această abordare ecosistemică asigură securitatea celor mai sensibile date și sisteme, chiar și împotriva vectorilor de atac neconvenționali.
Gânduri finale
As adversaries' techniques grow more advanced, security technology must evolve even faster. OPSWAT boasts over 20 years of deep security expertise, built into products like MetaDefender platform and Deep CDR™ Technology. This experience brings together continuously updated threat intelligence, advanced detection algorithms, and configurable layered defenses to stop attacks before they compromise your organization.
Pentru a afla mai multe despre neutralizarea amenințărilor ascunse bazate pe imagini și consolidarea apărării de securitate a întreprinderilor cu OPSWAT MetaDefender , contactați echipa noastră astăzi. Când vine vorba de a fi mai isteți decât atacurile cibernetice de mâine, merită să instalați astăzi apărările de securitate adecvate.
