AI Hacking - Cách tin tặc sử dụng trí tuệ nhân tạo trong các cuộc tấn công mạng

Đọc ngay
Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và trong khi chúng tôi cố gắng đạt được độ chính xác, chúng có thể không phải lúc nào cũng chính xác 100%. Sự hiểu biết của bạn được đánh giá cao.

Cách ngăn chặn các cuộc tấn công lừa đảo dựa trên SVG bằng Deep CDR

bằng cách Vinh Lam, Trưởng phòng Chương trình Kỹ thuật Cao cấp
Chia sẻ bài viết này

Kẻ tấn công ngày càng biến các tệp SVG thành vũ khí với JavaScript nhúng và các payload được mã hóa Base64 để phát tán các trang lừa đảo và phần mềm độc hại, đồng thời tránh được các biện pháp phát hiện truyền thống. Deep CDR™ , một trong những công nghệ cốt lõi hỗ trợ MetaDefender Core™ , vô hiệu hóa loại tấn công này bằng cách xóa tất cả nội dung đang hoạt động (script, tham chiếu ngoài, trình xử lý sự kiện, v.v.) và cung cấp hình ảnh sạch, tuân thủ tiêu chuẩn, bảo toàn chức năng đồng thời loại bỏ rủi ro. SVG (Đồ họa vectơ mở rộng) thông thường, đáng tin cậy không cần JavaScript, vì vậy JavaScript được mặc định xóa.

Tại sao lại là SVG

Phương tiện hoàn hảo cho các tải trọng lừa đảo

SVG là định dạng hình ảnh vector dựa trên XML, không phải là bitmap đơn giản.

Đoạn mã mẫu của SVG

Một tệp SVG có thể bao gồm:

  • Kịch bản
  • Trình xử lý sự kiện
  • Tài liệu tham khảo bên ngoài

Những tính năng này hữu ích cho đồ họa tương tác, nhưng kẻ tấn công sẽ lợi dụng chúng để:

  • Chạy mã độc hại
  • Chèn dữ liệu XML độc hại
  • Lấy nội dung bên ngoài
  • Hiển thị các trang đăng nhập giả mạo

Kẻ tấn công cũng kết hợp SVG với việc buôn lậu HTML/JS bằng cách nhúng các gói tin Base64 vào các hình ảnh tưởng chừng vô hại và giải mã chúng khi chạy. Kỹ thuật này hiện được chính thức theo dõi với tên gọi MITRE ATT&CK “SVG Smuggling” (T1027.017).

Điểm mấu chốt

In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.

Những gì chúng ta đang thấy trong tự nhiên

Tệp đính kèm email có mã độc lừa đảo được giải mã theo chuẩn Base64

  • Phân phối: Email thông thường có tệp đính kèm .svg mà nhiều cổng email coi là hình ảnh.
  • Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.

Drive -Theo trang web sử dụng trình xử lý sự kiện để chuyển hướng

  • Giao hàng: Một trang web bị xâm phạm hoặc đánh máy sai sẽ sử dụng lớp phủ SVG trong suốt với các vùng có thể nhấp vào.
  • Kỹ thuật: Thuộc tính sự kiện (onload, onclick) kích hoạt chuyển hướng bằng cách giải mã Base64.

Tại sao phát hiện khó khăn ở đây

Các phương pháp truyền thống như chữ ký, quy tắc mẫu và kiểm tra mã tĩnh sẽ thất bại khi kẻ tấn công:

  • Làm tối nghĩa bằng Base64, XOR, chèn văn bản rác hoặc mẫu đa hình.
  • Hoãn thực thi cho đến khi chạy (ví dụ: onload), khiến phân tích tĩnh trở nên không đáng tin cậy.
  • Ẩn logic đằng sau các tính năng SVG hợp pháp như trình xử lý sự kiện và tham chiếu bên ngoài.

Sự thật thú vị

Theo dữ liệu của HTTP Archive, 92% trong số 1000 trang web hàng đầu sử dụng SVG làm biểu tượng và đồ họa.

“Nếu nó hoạt động, nó sẽ rủi ro”

Deep CDR cho SVG

Deep CDR , một trong những công nghệ cốt lõi hỗ trợ MetaDefender Core , không cố gắng đoán xem nội dung nào là độc hại. Nó giả định rằng bất kỳ nội dung thực thi hoặc hoạt động nào trong các tệp không đáng tin cậy đều có rủi ro và sẽ xóa hoặc khử trùng nội dung đó.

Đối với SVG, điều đó có nghĩa là:

  • Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
  • Xóa CDATA: Loại bỏ mã ẩn bên trong các phần CDATA có thể nhúng logic có hại.
  • Loại bỏ phần mềm độc hại: Chặn nội dung được đưa vào có thể thực thi các chương trình độc hại.
  • Xử lý hình ảnh: Khử trùng đệ quy các hình ảnh nhúng và loại bỏ các hình ảnh bên ngoài.
  • Chuẩn hóa & Xây dựng lại: Tạo SVG tuân thủ tiêu chuẩn chỉ với các thành phần trực quan an toàn.
  • Tùy chọn Rasterize: Chuyển đổi SVG sang PNG hoặc PDF cho các quy trình làm việc không yêu cầu tương tác vector.

Cách tiếp cận này phù hợp với hướng dẫn bảo mật: khử trùng hoặc tạo hộp cát cho SVG (hoặc quét chúng) để ngăn chặn việc thực thi mã.

Các trường hợp sử dụng hàng đầu với Deep CDR

Cổng email

Khử trùng các tệp đính kèm và tệp được liên kết (URL được giải quyết thông qua tải xuống) trước khi gửi. SVG được chuyển đổi thành SVG sạch sẽ giúp ngăn chặn việc thu thập thông tin đăng nhập và trình tải xuống.

Nền tảng cộng tác

Áp dụng Deep CDR đến các tệp được chia sẻ qua các công cụ như Teams, Slack hoặc SharePoint. Việc khử trùng SVG ở đây đảm bảo rằng không có màn hình đăng nhập ẩn hoặc tập lệnh độc hại nào có thể lừa người dùng trong quá trình cộng tác hàng ngày.

Cổng tải lên web

Thực hiện khử trùng tất cả các tệp được tải lên trang web, CMS hoặc hệ thống quản lý tài sản kỹ thuật số của bạn. Điều này ngăn chặn kẻ tấn công ẩn mã độc hại bên trong những thứ trông giống như logo hoặc đồ họa đơn giản.

Chuyển tập tin & MFT ( Managed File Transfer )

Tích hợp Deep CDR vào quy trình truyền tệp để mọi tệp, đặc biệt là tệp từ đối tác hoặc nhà cung cấp, đều an toàn khi sử dụng trước khi vào mạng của bạn. Điều này giúp giảm thiểu rủi ro chuỗi cung ứng từ các tài sản bị xâm phạm.

Tác động kinh doanh

Việc bỏ qua việc khử trùng SVG có thể dẫn đến:

  • Trộm cắp thông tin đăng nhập: Các trang đăng nhập giả mạo thu thập thông tin đăng nhập của người dùng.
  • Nhiễm phần mềm độc hại: Chuỗi chuyển hướng phân phối phần mềm tống tiền hoặc phần mềm đánh cắp.
  • Vi phạm tuân thủ: Vi phạm liên quan đến dữ liệu nhạy cảm có thể dẫn đến tiền phạt và tổn hại đến danh tiếng.

Thực hành tốt nhất để ngăn chặn tấn công dựa trên SVG

  • Chế độ mặc định: Không có JavaScript trong SVG từ các nguồn không đáng tin cậy.
  • Vệ sinh hoặc quét: Áp dụng Deep CDR đến tất cả các tệp SVG đến.
  • Kết hợp với CSP: Sử dụng để phòng thủ theo chiều sâu, không phải để kiểm soát chính.
  • Kiểm tra và ghi nhật ký: Theo dõi mọi hành động vệ sinh để đảm bảo tuân thủ và giám định.

Tổng kết

Lừa đảo qua SVG không phải là chuyện lý thuyết, nó đang diễn ra ngay bây giờ. Các công cụ phát hiện không thể theo kịp các kỹ thuật che giấu thông tin đang phát triển. Deep CDR cung cấp phương pháp tiếp cận xác định, không tin cậy, loại bỏ rủi ro trước khi nó đến tay người dùng.

Luôn cập nhật với OPSWAT!

Đăng ký ngay hôm nay để nhận thông tin cập nhật mới nhất về công ty, câu chuyện, thông tin sự kiện và nhiều thông tin khác.