Giới thiệu
Kể từ năm 2021, chúng ta đã chứng kiến sự gia tăng các cuộc tấn công mạng buôn lậu HTML nhắm vào các lĩnh vực tài chính ngân hàng trên khắp châu Mỹ Latinh. Các tác nhân đe dọa tiếp tục sử dụng kỹ thuật trốn tránh này trong các chiến dịch mã độc quy mô lớn để phát tán trojan như Mekotio, /style, Trickbot và QakBot. Những thách thức độc đáo trong việc phát hiện buôn lậu HTML bị xáo trộn làm cho nó trở thành một vectơ đe dọa dai dẳng và phổ biến.
Buôn lậu HTML sử dụng nhiều kỹ thuật lừa đảo khác nhau để cung cấp tải trọng độc hại đến các thiết bị đầu cuối của nạn nhân. Các tác nhân đe dọa thường ngụy trang các tập lệnh độc hại trong tệp đính kèm email hoặc chia sẻ tài liệu bị nhiễm mã độc. Một cách tiếp cận đặc biệt khó nắm bắt là sử dụng mã hóa Base64 để ẩn mã độc trong nội dung HTML.
Bài viết này mô tả chi tiết mã hóa Base64 như một kỹ thuật để làm xáo trộn tải trọng nhập lậu HTML. Chúng tôi kiểm tra những khó khăn vốn có trong việc phát hiện các mối đe dọa được mã hóa Base64 và cách các tổ chức có thể thực hiện các biện pháp phòng thủ mạnh mẽ chống lại chiến thuật này bằng cách sử dụng Các giải pháp của OPSWAT phòng chống mối đe dọa tiên tiến.
Sự lừa dối của mã hóa Base64
Mã hóa Base64 là một phương pháp chuyển đổi dữ liệu nhị phân thành văn bản và được sử dụng rộng rãi cho nhiều mục đích hợp pháp bao gồm truyền tệp và tệp đính kèm email. Tuy nhiên, nó cũng có thể bị khai thác cho các mục đích độc hại thông qua các kỹ thuật như xáo trộn tải trọng nhập lậu, nơi kẻ tấn công ẩn dữ liệu độc hại trong các tệp dường như vô hại.
Thay vì xáo trộn phức tạp, cách tiếp cận này nhúng tải trọng được mã hóa Base64 trực tiếp vào thẻ HTML như <img>
mã độc trốn tránh các bộ lọc tìm kiếm các tệp nhị phân độc hại bằng cách mã hóa các tệp thực thi dưới dạng văn bản lành tính. Trình duyệt mục tiêu có thể giải mã tập lệnh và lắp ráp tải trọng trên máy chủ. Mã hóa Base64 cho phép các cuộc tấn công mạnh mẽ ngay cả khi sử dụng hình ảnh phổ biến.
- Ẩn vào dữ liệu EXIF bằng steganography.
- Được nhúng trong pixel dưới dạng nhiễu.
- Được nối vào cuối tệp hình ảnh.
Luồng tấn công Base64
Những thách thức trong việc phát hiện các mối đe dọa được mã hóa
Các giải pháp chống vi rút truyền thống phụ thuộc nhiều vào phát hiện dựa trên chữ ký thường bỏ lỡ các biến thể mã độc mới bị xáo trộn bởi mã hóa Base64 và các chiến thuật kỹ thuật xã hội thường được sử dụng thành công để cung cấp tải trọng được mã hóa Base64 cho người dùng cuối không nghi ngờ.
Một sự lừa dối tiên tiến hơn như steganography ẩn mã độc trong các hình ảnh và tệp phương tiện lành tính. Mã hóa Base64 có thể ngụy trang mã độc dưới dạng tiếng ồn mà con người không thể nhận ra. Mặc dù mã hóa Base64 có mục đích sử dụng hợp pháp để truyền dữ liệu, nhưng điều trọng yếu là phải thận trọng với hình ảnh chứa chuỗi được mã hóa Base64, đặc biệt nếu chúng đến từ các nguồn không xác định.
Những thách thức khác cản trở việc phát hiện các mối đe dọa được mã hóa Base64 bao gồm:
- Mã hóa tải trọng được chia thành nhiều tệp và được lắp ráp lại cục bộ.
- Biến đổi mã độc vượt qua cơ sở dữ liệu chữ ký tĩnh.
- Chèn khoảng trắng thừa hoặc ký tự làm hỏng chữ ký.
- Chèn các loại tệp bất thường hiếm khi được kiểm tra bởi các chương trình chống vi rút truyền thống.
- Phân phối nhanh chóng các biến thể mới trước khi chữ ký được cập nhật.
Khám phá tải trọng nhập lậu với OPSWAT MetaDefender Core
Mặc dù các công cụ chống vi rút đơn lẻ có hiệu quả hạn chế chống lại các mối đe dọa mới nổi, việc kết hợp nhiều công cụ có thể làm tăng đáng kể tỷ lệ phát hiện mã độc. OPSWAT MetaDefender Core Tận dụng hơn 30 trình quét phòng chống mã độc để phát hiện tới 99,2% mã độc đã biết và zero-day.
Việc cải thiện cơ sở dữ liệu chữ ký tĩnh để phát hiện phần mềm độc hại mới là một bước khởi đầu tốt, nhưng các phần mềm độc hại được cài cắm vẫn có thể lọt qua phần mềm diệt virus. Các doanh nghiệp cần một chiến lược phòng thủ đa lớp mạnh mẽ để ngăn chặn các cuộc tấn công zero-day. Điều này bao gồm việc sử dụng các công nghệ bảo vệ động như Multiscanning , Deep CDR™ Technology (Content Disarm and Reconstruction) và Adaptive Sandbox . Những công nghệ này có thể giúp phát hiện và chặn các cuộc tấn công phần mềm độc hại ngay từ giai đoạn đầu (đặc biệt là những cuộc tấn công sử dụng HTML để cài cắm liên kết và tệp đính kèm) và bảo vệ dữ liệu nhạy cảm.
Xem kết quả mẫu tại metadefender.OPSWAT.com.
Phát hiện chủ động với công nghệ Deep CDR™ và Adaptive Sandbox
Công nghệ Deep CDR™ ngăn chặn việc thực thi các lược đồ mã hóa Base64 bằng cách phân tích và tái tạo lại. làm sạch Các tệp không chứa bất kỳ mã độc hại nào. Đối với các loại tệp như hình ảnh được nhúng trong tệp HTML, Công nghệ Deep CDR™ thực hiện giải mã, loại bỏ mối đe dọa và tái tạo để đảm bảo tính toàn vẹn. làm sạch Hình ảnh đã được khôi phục an toàn.
Công nghệ Deep CDR™ duy trì độ trung thực của hình ảnh khi xử lý các nỗ lực tấn công bằng mã độc Base64. Người dùng có thể xem hình ảnh đã được giải mã an toàn, với các mối đe dọa tiềm ẩn được vô hiệu hóa liền mạch trong nền. Điều này cung cấp khả năng bảo vệ mạnh mẽ mà không làm gián đoạn quy trình làm việc.
MetaDefender Aether là một công nghệ phân tích phần mềm độc hại dựa trên mô phỏng, có khả năng quét hàng ngàn tệp tin để tìm phần mềm độc hại một cách nhanh chóng và đồng thời phát hiện mọi lớp che giấu để xác định các Chỉ báo về Sự xâm phạm (IOC) có giá trị.
Khi phân tích các tệp tin sử dụng các kỹ thuật che giấu thông tin như mã hóa Base64 hoặc mã hóa HTML bất hợp pháp, MetaDefender Aether kiểm tra kỹ lưỡng các tệp tin, trích xuất mã JavaScript và mô phỏng hành vi của chúng để giám sát chặt chẽ mọi hoạt động đáng ngờ. Khả năng phân tích thích ứng này cho phép MetaDefender Aether giúp xác định các hành động độc hại, chẳng hạn như cố gắng giải mã và thực thi phần mềm độc hại được mã hóa Base64 hoặc chạy các tập lệnh ẩn được nhúng trong nội dung HTML.
Vượt ra ngoài phòng thủ vành đai
Mối đe dọa bí mật gây ra bởi các cuộc tấn công Base64 nhấn mạnh lý do tại sao các doanh nghiệp phải mở rộng phòng thủ của họ ngoài các biện pháp bảo vệ chống lại các nguồn bên ngoài không xác định. Điều trọng yếu là phải dự đoán rằng các tệp độc hại có thể vi phạm các thiết bị đầu cuối nội bộ của bạn mặc dù bảo mật mạng mạnh mẽ. Là một lớp phòng thủ bổ sung, bảo vệ thiết bị đầu cuối mạnh mẽ là không thể thiếu. OPSWAT MetaDefender tạo điều kiện chủ động Bảo mật tệp tin bằng cách quét các tệp đến bằng nhiều trình quét phòng chống mã độc. Điều này giúp xác định các mối đe dọa zero-day bị xáo trộn có thể trốn tránh các biện pháp phòng thủ vành đai.
Các công nghệ khắc phục sự cố như Deep CDR™ Technology tiến thêm một bước nữa bằng cách vô hiệu hóa, trung hòa và tái tạo các tệp có khả năng độc hại trước khi chúng gây nguy hiểm cho các thiết bị đầu cuối. Việc triển khai một cách toàn diện như vậy mang lại hiệu quả cao hơn. Bảo mật tệp tin Các biện pháp này hạn chế thiệt hại do các mối đe dọa xâm nhập vào hệ thống bảo mật của bạn gây ra và giảm sự phụ thuộc vào bảo mật biên giới như là tuyến phòng thủ duy nhất.
OPSWAT cho phép các tổ chức triển khai bảo mật thiết bị đầu cuối nhiều lớp, đóng vai trò bảo vệ trọng yếu chống lại các mối đe dọa đang phát triển trong bối cảnh ngày nay.
