Các kỹ thuật tấn công dựa trên hình ảnh như steganography và polyglot không phải là mới đối với các nhóm bảo mật. Bất chấp các giải pháp hiện có để giảm thiểu rủi ro, các tác nhân đe dọa liên tục nghĩ ra các phương pháp mới để ẩn phần mềm độc hại trong các định dạng hình ảnh đáng tin cậy. Một kỹ thuật tấn công dựa trên hình ảnh tiên tiến được gọi là tải trọng polyglot cross-site scripting (XSS). Các tải trọng này khai thác hình ảnh đa ngôn ngữ, chứa cả hình ảnh hợp lệ và mã hoặc tập lệnh ẩn. Các payload nhắm mục tiêu cụ thể vào các lỗ hổng trình duyệt web để thực hiện các cuộc tấn công XSS đánh cắp dữ liệu hoặc cài đặt phần mềm độc hại, tránh bị phát hiện như hạn chế Chính sách bảo mật nội dung (CSP).
Để luôn đi trước những mối đe dọa mới lừa đảo này, các tổ chức cần các giải pháp bảo mật không tin cậy vượt ra ngoài việc phát hiện các rủi ro đã biết và thực hiện các biện pháp phòng ngừa để đảm bảo ngăn chặn mọi cuộc tấn công trong tương lai—cho dù phần mềm độc hại là đã biết hay mới. Deep Content Disarm and Reconstruction (CDR) OPSWAT ngăn chặn các cuộc tấn công dựa trên hình ảnh lén lút bằng cách Làm sạch các tệp hình ảnh, xóa bất kỳ mã độc hại tiềm ẩn nào và tái thiết chúng để có thể sử dụng an toàn trong bất kỳ môi trường kỹ thuật số nào.
Mức độ rủi ro của vectơ tấn công phần mềm độc hại dựa trên hình ảnh
Steganography
Hình ảnh steganography lần đầu tiên được quan sát thấy trong một cuộc tấn công mạng vào năm 2011 với phần mềm độc hại Duqu. Trong chiến dịch này, thông tin được mã hóa và che giấu trong một tệp JPEG cơ bản, nhằm trích xuất dữ liệu từ hệ thống được nhắm mục tiêu. Steganography là một cách các tác nhân độc hại bay dưới radar. Nó nhúng tải trọng phần mềm độc hại vào các tệp hình ảnh bằng cách sửa đổi dữ liệu pixel và hoàn toàn không bị phát hiện cho đến khi được giải mã.
Tuy nhiên, Steganography chỉ hoạt động nếu có sẵn một công cụ giải mã, khiến nó trở thành phương pháp phân phối phần mềm độc hại dựa trên hình ảnh ít phức tạp nhất.
Đa ngôn ngữ
Được xem là phức tạp hơn steganography, Polyglot yêu cầu kết hợp hai loại tệp khác nhau. Ví dụ: PHAR + JPEG (lưu trữ PHP và tệp JPEG), GIFRAR (tệp GIF và RAR), JS + JPEG (tệp JavaScript và JPEG), v.v. Hình ảnh đa ngôn ngữ hoạt động hoàn hảo như các tệp hình ảnh bình thường.
Tuy nhiên, chúng cũng có thể bị khai thác để buôn lậu các tập lệnh độc hại hoặc tải trọng dữ liệu được che giấu. Các tải trọng này bỏ qua các biện pháp phòng thủ thông thường và thực hiện các cuộc tấn công nhúng của chúng khi được mở trong các môi trường được nhắm mục tiêu như trình duyệt web. Sự nguy hiểm của polyglot là nó không yêu cầu tập lệnh để trích xuất mã độc; Chức năng trình duyệt sẽ tự động chạy nó.
Tải trọng XSS Polyglot
Tải trọng đa ngôn ngữ XSS thể hiện rủi ro cao bằng cách kết hợp các kỹ thuật polyglot với các cuộc tấn công XSS. Các payload sử dụng hình ảnh polyglot để che giấu các tập lệnh khai thác lỗ hổng trình duyệt và bỏ qua các biện pháp bảo vệ chính như CSP. Điều này cho phép các tập lệnh nguy hiểm hơn nhiều được đưa vào các trang web và ứng dụng đáng tin cậy.
Sử dụng hình ảnh polyglot có thể phá vỡ các bộ lọc trang web nhất định chặn lưu trữ nội dung bên ngoài. Để đạt được điều này, cấu trúc HTML trước khi tiêm phải hợp pháp, hoạt động như một biến hợp lệ. Quá trình này dựa vào XSS để diễn giải nội dung được tiêm dưới dạng JavaScript, có thể vượt qua các hạn chế về tải lên hình ảnh, cũng như chính sách nguồn gốc chéo và các hạn chế trong danh sách trắng theo sau. Mã JavaScript sau đó được lưu trữ trên trang web cụ thể được đề cập, cho phép nó thực thi trong ngữ cảnh dự định của nó.
Phòng ngừa mối đe dọa nâng cao với Deep CDR
Deep CDR công nghệ, đạt được xếp hạng bảo vệ 100% trong Báo cáo Phòng thí nghiệm SE , là công ty dẫn đầu thị trường trong việc ngăn chặn cả các mối đe dọa dựa trên tệp đã biết và chưa biết, bảo vệ chống lại phần mềm độc hại và các cuộc tấn công zero-day. Cung cấp các tính năng vượt trội như Làm sạch đệ quy và tái tạo tệp chính xác, Deep CDR cung cấp các tệp an toàn và có thể sử dụng. Ngoài ra, nó hỗ trợ hàng trăm loại tệp, bao gồm PDF, tệp lưu trữ và các định dạng tương thích với tệp lưu trữ.
Quay trở lại năm 2018, OPSWAT đã đề cập đến hai bài đăng trên blog giải thích về rủi ro của thuật ẩn chữ và đa ngôn ngữ và sử dụng Deep CDR để ngăn chặn các kỹ thuật tấn công này. Trong hướng dẫn này, chúng tôi sẽ tập trung nhiều hơn vào XSS Polyglot Payloads.
Khai thác XSS bằng Polyglot JPEG và JavaScript để bỏ qua CSP
Tải trọng đa ngôn ngữ XSS có thể thực thi trong nhiều ngữ cảnh, bao gồm HTML, chuỗi tập lệnh, JavaScript và URL.
Tác nhân đe dọa sau đó sẽ thay đổi Src Giá trị thuộc tính trong index.html đến tên tệp đầu ra, chạy máy chủ HTTP và mở http://localhost:8000 trong trình duyệt. Xem các mẫu dưới đây.
Ngăn chặn XSS Polyglot từng bước với Deep CDR
- Phân tích cấu trúc hình ảnh để xác thực với các thông số kỹ thuật hình ảnh đáng tin cậy đã biết. Deep CDR tối ưu hóa dữ liệu bitmap, loại bỏ dữ liệu không sử dụng và sau đó xử lý siêu dữ liệu.
- Vô hiệu hóa phần mềm độc hại tiềm ẩn thông qua trích xuất tải trọng để xóa các tập lệnh và dữ liệu ẩn một cách an toàn.
- Làm sạch hình ảnh bằng cách vô hiệu hóa và loại bỏ các vectơ đe dọa trong khi vẫn giữ hình ảnh an toàn để sử dụng. Người dùng sẽ chỉ nhìn thấy hình ảnh như dự định mà không có bất kỳ mã độc tiềm ẩn không liên quan hoặc không xác định nào.
Phòng thủ chuyên sâu với OPSWAT MetaDefender Nền tảng
Vượt ra ngoài hình ảnh, các OPSWAT MetaDefender Nền tảng cung cấp bảo vệ nhiều lớp chống lại các mối đe dọa dựa trên tệp. OPSWAT MetaDefender Chống lại sự phát triển liên tục của các loại tấn công mới bằng cách:
- Chặn hàng trăm mối đe dọa đã biết ra khỏi hộp.
- Áp dụng phân tích hành vi để phát hiện các mối đe dọa zero-day.
- Đảm bảo rằng mọi tệp đáng ngờ đều được vệ sinh hoặc chặn an toàn.
Cách tiếp cận hệ sinh thái này bảo mật dữ liệu và hệ thống nhạy cảm nhất của bạn ngay cả từ các vectơ tấn công độc đáo.
Kết luận:
Khi kỹ thuật của kẻ thù ngày càng tiên tiến, công nghệ an ninh cũng phải phát triển nhanh hơn nữa. OPSWAT tự hào có hơn 20 năm kinh nghiệm bảo mật sâu sắc, được tích hợp vào các sản phẩm như MetaDefender nền tảng và Deep CDR công nghệ. Trải nghiệm này kết hợp thông tin tình báo về mối đe dọa được cập nhật liên tục, các thuật toán phát hiện tiên tiến và các lớp phòng thủ có thể cấu hình để ngăn chặn các cuộc tấn công trước khi chúng xâm phạm tổ chức của bạn.
Để tìm hiểu thêm về cách vô hiệu hóa các mối đe dọa dựa trên hình ảnh bí mật và tăng cường phòng thủ bảo mật doanh nghiệp với OPSWAT MetaDefender, liên hệ với nhóm của chúng tôi ngay hôm nay. Khi nói đến việc vượt qua các cuộc tấn công mạng vào ngày mai, bạn phải trả tiền để cài đặt các biện pháp phòng thủ an ninh phù hợp ngay hôm nay.
