Actualizarea pe care nu vă puteți permite să o ignorați: sfârșitul suportului pentru Office 2016 și Office 2019

Citește acum
Utilizăm inteligența artificială pentru traducerile site-urilor și, deși ne străduim să fim exacți, este posibil ca acestea să nu fie întotdeauna 100% precise. Apreciem înțelegerea dumneavoastră.
Acasă/ Blog / Cum să opriți atacurile de phishing bazate pe SVG cu...
Securitatea fișierelor

Cum să opriți atacurile de phishing bazate pe SVG cu tehnologia Deep CDR™

de Vinh Lam, manager principal de program tehnic
Împărtășește această postare

Atacatorii utilizează din ce în ce mai des fișierele SVG ca arme, încorporând în ele cod JavaScript și încărcături codificate în Base64 pentru a difuza pagini de phishing și programe malware, evitând în același timp sistemele tradiționale de detectare. Tehnologia Deep CDR™, una dintre tehnologiile de bază care stau la baza MetaDefender , neutralizează această categorie de atacuri prin eliminarea întregului conținut activ (scripturi, referințe externe, gestionari de evenimente etc.) și furnizarea unei imagini curate, conformă cu standardele, care păstrează funcționalitatea eliminând în același timp riscurile. Fișierele SVG (Scalable Vector Graphics) normale și de încredere nu au nevoie de JavaScript, așa că acesta este eliminat în mod implicit.

De ce SVG

Vehiculul perfect pentru sarcinile utile de phishing

SVG este un format de imagine vectorială bazat pe XML, nu o simplă bitmap.

Captură de ecran a codului SVG care ilustrează modul în care atacurile de phishing SVG pot încorpora sarcini utile malițioase în imagini vectoriale
Exemplu de fragment de cod al unui SVG

Un fișier SVG poate include:

  • Scripturi
  • Manipulatori de evenimente
  • Referințe externe

Aceste caracteristici sunt utile pentru grafica interactivă, dar atacatorii le exploatează pentru:

  • Rulați coduri malițioase
  • Injectați date XML malițioase
  • Preluarea conținutului extern
  • Renderizarea paginilor de autentificare false

Atacatorii combină, de asemenea, SVG-urile cu contrabanda HTML/JS prin încorporarea de sarcini utile Base64 în imagini aparent inofensive și decodarea acestora în timpul execuției. Această tehnică este acum urmărită oficial ca MITRE ATT&CK "SVG Smuggling" (T1027.017).

Principala concluzie

In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.

Ce observăm în sălbăticie

Atașament de e-mail cu Phishing codificat Base64

  • Livrare: Un e-mail de rutină conține un atașament .svg pe care multe porți de e-mail îl tratează ca pe o imagine.
  • Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.

Site web de Drive care utilizează Event Handlers pentru redirecționare

  • Livrare: Un site compromis sau cu greșeli de tipar utilizează o suprapunere SVG transparentă cu regiuni pe care se poate face clic.
  • Tehnică: Atributele evenimentului (onload, onclick) declanșează redirecționări utilizând decodarea Base64.

De ce detecția se luptă aici

Abordările tradiționale, cum ar fi semnăturile, regulile de model și inspecția codului static, eșuează atunci când atacatorii:

  • Ofuscați cu Base64, XOR, umplutură de text nedorit sau șabloane polimorfe.
  • Amână execuția până în timpul execuției (de exemplu, onload), ceea ce face ca analiza statică să nu fie fiabilă.
  • Ascundeți logica din spatele caracteristicilor SVG legitime, cum ar fi manipulatorii de evenimente și referințele externe.

Fapt interesant

SVG este utilizat de 92% dintre primele 1000 de site-uri web pentru pictograme și grafică, conform datelor HTTP Archive.

"Dacă este activ, este riscant"

Tehnologia Deep CDR™ pentru SVG

Tehnologia Deep CDR™, una dintre tehnologiile de bază care stau la baza MetaDefender Core, nu încearcă să ghicească ce este dăunător. Aceasta pornește de la premisa că orice fișier executabil sau conținut activ din fișierele neîncredere prezintă un risc și îl elimină sau îl dezinfectează.

Pentru SVG-uri, asta înseamnă:

  • Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
  • Remove CDATA: Elimină codul ascuns în secțiunile CDATA care ar putea încorpora logică dăunătoare.
  • Elimină injectările: Blochează conținutul injectat care ar putea executa programe malițioase.
  • Procesează imaginea: Salubrizarea recursivă a imaginilor încorporate și eliminarea imaginilor externe.
  • Normalizează și reconstruiește: Creează un SVG conform standardelor, cu numai elemente vizuale sigure.
  • Opțional Rasterize: Convertește SVG în PNG sau PDF pentru fluxurile de lucru care nu necesită interactivitate vectorială.

Această abordare se aliniază ghidului de securitate: igienizați sau sandboxați SVG-urile (sau rasterizați-le) pentru a preveni executarea codului.

Cele mai importante cazuri de utilizare cu tehnologia Deep CDR™

Gateway-uri de e-mail

Curățați atașamentele primite și fișierele legate (URL-uri rezolvate prin descărcare) înainte de livrare. SVG-urile convertite în SVG-uri curate împiedică redarea de către hărțuitorii de acreditări și declanșarea descărcărilor.

Platforme de colaborare

Aplicați tehnologia Deep CDR™ fișierelor partajate prin intermediul unor instrumente precum Teams, Slack sau SharePoint. Curățarea fișierelor SVG în acest context garantează că niciun ecran de autentificare ascuns sau script rău intenționat nu poate păcăli utilizatorii în timpul colaborării zilnice.

Portaluri web de încărcare

Impuneți sanitizarea tuturor fișierelor încărcate pe site-urile dvs. web, CMS sau sistemele de gestionare a activelor digitale. Acest lucru îi împiedică pe atacatori să ascundă cod dăunător în ceea ce pare a fi un simplu logo sau grafic.

Transfer de fișiere & MFT Managed File Transfer)

Integrați tehnologia Deep CDR™ în fluxurile de lucru pentru transferul de fișiere, astfel încât fiecare fișier, în special cele provenite de la parteneri sau furnizori, să fie sigur de utilizat înainte de a intra în rețeaua dvs. Acest lucru reduce riscurile din lanțul de aprovizionare generate de resursele compromise.

Impactul asupra afacerilor

Ignorarea sanitizării SVG poate duce la:

  • Furtul de acreditări: Paginile de autentificare false colectează datele de identificare ale utilizatorilor.
  • Infecții malware: Lanțurile de redirecționare livrează ransomware sau stealeri.
  • Încălcări ale conformității: Încălcările care implică date sensibile pot declanșa amenzi și daune reputaționale.

Cele mai bune practici pentru prevenirea atacurilor bazate pe SVG

  • Poziție implicită: Fără JavaScript în SVG din surse nesigure.
  • Dezinfectare sau rasterizare: Aplicați tehnologia Deep CDR™ tuturor fișierelor SVG primite.
  • Combinat cu CSP: Utilizați ca apărare în profunzime, nu ca control primar.
  • Audit și jurnalizare: Urmăriți fiecare acțiune de igienizare pentru conformitate și expertiză.

Gânduri de încheiere

Phishingul bazat pe SVG nu este doar o ipoteză teoretică, ci este o realitate actuală. Instrumentele bazate pe detectare nu pot ține pasul cu tehnicile de camuflare în continuă evoluție. Tehnologia Deep CDR™ oferă o abordare deterministă, de tip „zero-trust”, eliminând riscul înainte ca acesta să ajungă la utilizatorii dumneavoastră.

Rezervați o demonstrație
Tags:

Ultimele postări

Înscrieți-vă la OPSWAT Newsletter

Obțineți cele mai recente actualizări ale companiei OPSWAT împreună cu informații despre evenimente și știrile care determină progresul industriei.
Înscrie-mă

Urmați-ne pe Social Media

Urmăriți OPSWAT pe LinkedIn, Facebook, Twitter și YouTube pentru mai multe informații!

Rămâneți la curent cu OPSWAT!

Înscrieți-vă astăzi pentru a primi cele mai recente actualizări ale companiei, povești, informații despre evenimente și multe altele.
Abonează-te la