AI Hacking - Cum folosesc hackerii inteligența artificială în atacurile cibernetice

Citește acum
Utilizăm inteligența artificială pentru traducerile site-urilor și, deși ne străduim să fim exacți, este posibil ca acestea să nu fie întotdeauna 100% precise. Apreciem înțelegerea dumneavoastră.

Cum să opriți atacurile de phishing bazate pe SVG cu ajutorul Deep CDR

de Vinh Lam, manager principal de program tehnic
Împărtășește această postare

Atacatorii folosesc din ce în ce mai mult fișiere SVG cu JavaScript încorporat și sarcini utile codate Base64 pentru a furniza pagini de phishing și programe malware, evitând detecția tradițională. Deep CDR™, una dintre tehnologiile de bază care alimentează MetaDefender Core™, neutralizează această clasă de atacuri prin eliminarea întregului conținut activ (scripturi, referințe externe, programe de gestionare a evenimentelor etc.) și furnizarea unei imagini curate, conforme cu standardele, care păstrează funcționalitatea, eliminând totodată riscul. SVG-urile (Scalable Vector Graphics) normale și de încredere nu au nevoie de JavaScript, astfel încât acesta este eliminat în mod implicit.

De ce SVG

Vehiculul perfect pentru sarcinile utile de phishing

SVG este un format de imagine vectorială bazat pe XML, nu o simplă bitmap.

Exemplu de fragment de cod al unui SVG

Un fișier SVG poate include:

  • Scripturi
  • Manipulatori de evenimente
  • Referințe externe

Aceste caracteristici sunt utile pentru grafica interactivă, dar atacatorii le exploatează pentru:

  • Rulați coduri malițioase
  • Injectați date XML malițioase
  • Preluarea conținutului extern
  • Renderizarea paginilor de autentificare false

Atacatorii combină, de asemenea, SVG-urile cu contrabanda HTML/JS prin încorporarea de sarcini utile Base64 în imagini aparent inofensive și decodarea acestora în timpul execuției. Această tehnică este acum urmărită oficial ca MITRE ATT&CK "SVG Smuggling" (T1027.017).

Principala concluzie

In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.

Ce observăm în sălbăticie

Atașament de e-mail cu Phishing codificat Base64

  • Livrare: Un e-mail de rutină conține un atașament .svg pe care multe porți de e-mail îl tratează ca pe o imagine.
  • Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.

Site web de Drive care utilizează Event Handlers pentru redirecționare

  • Livrare: Un site compromis sau cu greșeli de tipar utilizează o suprapunere SVG transparentă cu regiuni pe care se poate face clic.
  • Tehnică: Atributele evenimentului (onload, onclick) declanșează redirecționări utilizând decodarea Base64.

De ce detecția se luptă aici

Abordările tradiționale, cum ar fi semnăturile, regulile de model și inspecția codului static, eșuează atunci când atacatorii:

  • Ofuscați cu Base64, XOR, umplutură de text nedorit sau șabloane polimorfe.
  • Amână execuția până în timpul execuției (de exemplu, onload), ceea ce face ca analiza statică să nu fie fiabilă.
  • Ascundeți logica din spatele caracteristicilor SVG legitime, cum ar fi manipulatorii de evenimente și referințele externe.

Fapt interesant

SVG este utilizat de 92% dintre primele 1000 de site-uri web pentru pictograme și grafică, conform datelor HTTP Archive.

"Dacă este activ, este riscant"

Deep CDR pentru SVG

Deep CDR, una dintre tehnologiile de bază care alimentează MetaDefender Core, nu încearcă să ghicească ce este rău intenționat. Aceasta presupune că orice conținut executabil sau activ din fișierele nesigure este riscant și îl elimină sau îl igienizează.

Pentru SVG-uri, asta înseamnă:

  • Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
  • Remove CDATA: Elimină codul ascuns în secțiunile CDATA care ar putea încorpora logică dăunătoare.
  • Elimină injectările: Blochează conținutul injectat care ar putea executa programe malițioase.
  • Procesează imaginea: Salubrizarea recursivă a imaginilor încorporate și eliminarea imaginilor externe.
  • Normalizează și reconstruiește: Creează un SVG conform standardelor, cu numai elemente vizuale sigure.
  • Opțional Rasterize: Convertește SVG în PNG sau PDF pentru fluxurile de lucru care nu necesită interactivitate vectorială.

Această abordare se aliniază ghidului de securitate: igienizați sau sandboxați SVG-urile (sau rasterizați-le) pentru a preveni executarea codului.

Cazuri de utilizare de top cu Deep CDR

Gateway-uri de e-mail

Curățați atașamentele primite și fișierele legate (URL-uri rezolvate prin descărcare) înainte de livrare. SVG-urile convertite în SVG-uri curate împiedică redarea de către hărțuitorii de acreditări și declanșarea descărcărilor.

Platforme de colaborare

Aplicați Deep CDR la fișierele partajate prin instrumente precum Teams, Slack sau SharePoint. Sanitizarea SVG-urilor asigură faptul că niciun ecran de conectare ascuns sau scripturi malițioase nu pot păcăli utilizatorii în timpul colaborării zilnice.

Portaluri web de încărcare

Impuneți sanitizarea tuturor fișierelor încărcate pe site-urile dvs. web, CMS sau sistemele de gestionare a activelor digitale. Acest lucru îi împiedică pe atacatori să ascundă cod dăunător în ceea ce pare a fi un simplu logo sau grafic.

Transfer de fișiere & MFT Managed File Transfer)

Integrați Deep CDR în fluxurile de transfer de fișiere, astfel încât fiecare fișier, în special cele de la parteneri sau furnizori, să poată fi utilizat în siguranță înainte de a intra în rețeaua dumneavoastră. Acest lucru reduce riscurile lanțului de aprovizionare generate de activele compromise.

Impactul asupra afacerilor

Ignorarea sanitizării SVG poate duce la:

  • Furtul de acreditări: Paginile de autentificare false colectează datele de identificare ale utilizatorilor.
  • Infecții malware: Lanțurile de redirecționare livrează ransomware sau stealeri.
  • Încălcări ale conformității: Încălcările care implică date sensibile pot declanșa amenzi și daune reputaționale.

Cele mai bune practici pentru prevenirea atacurilor bazate pe SVG

  • Poziție implicită: Fără JavaScript în SVG din surse nesigure.
  • Sanitizați sau rasterizați: Aplicați Deep CDR la toate fișierele SVG primite.
  • Combinat cu CSP: Utilizați ca apărare în profunzime, nu ca control primar.
  • Audit și jurnalizare: Urmăriți fiecare acțiune de igienizare pentru conformitate și expertiză.

Gânduri de încheiere

Phishing-ul bazat pe SVG nu este teoretic, ci se întâmplă acum. Instrumentele bazate pe detectare nu pot ține pasul cu evoluția tehnicilor de ofuscare. Deep CDR oferă o abordare deterministă, de încredere zero, eliminând riscul înainte ca acesta să ajungă la utilizatori.

Rămâneți la curent cu OPSWAT!

Înscrieți-vă astăzi pentru a primi cele mai recente actualizări ale companiei, povești, informații despre evenimente și multe altele.