Kẻ tấn công ngày càng sử dụng các tệp SVG với mã JavaScript nhúng và các payload được mã hóa Base64 để phát tán các trang web lừa đảo và phần mềm độc hại, đồng thời né tránh các phương pháp phát hiện truyền thống. Công nghệ Deep CDR™ , một trong những công nghệ cốt lõi hỗ trợ MetaDefender Core™ , vô hiệu hóa loại tấn công này bằng cách loại bỏ tất cả nội dung hoạt động (script, tham chiếu bên ngoài, trình xử lý sự kiện, v.v.) và cung cấp một hình ảnh sạch, tuân thủ tiêu chuẩn, bảo toàn chức năng trong khi loại bỏ rủi ro. Các tệp SVG (Đồ họa vectơ có thể mở rộng) thông thường, đáng tin cậy không cần JavaScript, vì vậy nó được loại bỏ theo mặc định.
Tại sao lại là SVG
Phương tiện hoàn hảo cho các tải trọng lừa đảo
SVG là định dạng hình ảnh vector dựa trên XML, không phải là bitmap đơn giản.
Một tệp SVG có thể bao gồm:
- Kịch bản
- Trình xử lý sự kiện
- Tài liệu tham khảo bên ngoài
Những tính năng này hữu ích cho đồ họa tương tác, nhưng kẻ tấn công sẽ lợi dụng chúng để:
- Chạy mã độc hại
- Chèn dữ liệu XML độc hại
- Lấy nội dung bên ngoài
- Hiển thị các trang đăng nhập giả mạo
Kẻ tấn công cũng kết hợp SVG với việc buôn lậu HTML/JS bằng cách nhúng các gói tin Base64 vào các hình ảnh tưởng chừng vô hại và giải mã chúng khi chạy. Kỹ thuật này hiện được chính thức theo dõi với tên gọi MITRE ATT&CK “SVG Smuggling” (T1027.017).
Điểm mấu chốt
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Những gì chúng ta đang thấy trong tự nhiên
Tệp đính kèm email có mã độc lừa đảo được giải mã theo chuẩn Base64
- Phân phối: Email thông thường có tệp đính kèm .svg mà nhiều cổng email coi là hình ảnh.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Drive -Theo trang web sử dụng trình xử lý sự kiện để chuyển hướng
- Giao hàng: Một trang web bị xâm phạm hoặc đánh máy sai sẽ sử dụng lớp phủ SVG trong suốt với các vùng có thể nhấp vào.
- Kỹ thuật: Thuộc tính sự kiện (onload, onclick) kích hoạt chuyển hướng bằng cách giải mã Base64.
Tại sao phát hiện khó khăn ở đây
Các phương pháp truyền thống như chữ ký, quy tắc mẫu và kiểm tra mã tĩnh sẽ thất bại khi kẻ tấn công:
- Làm tối nghĩa bằng Base64, XOR, chèn văn bản rác hoặc mẫu đa hình.
- Hoãn thực thi cho đến khi chạy (ví dụ: onload), khiến phân tích tĩnh trở nên không đáng tin cậy.
- Ẩn logic đằng sau các tính năng SVG hợp pháp như trình xử lý sự kiện và tham chiếu bên ngoài.
Sự thật thú vị
Theo dữ liệu của HTTP Archive, 92% trong số 1000 trang web hàng đầu sử dụng SVG làm biểu tượng và đồ họa.
“Nếu nó hoạt động, nó sẽ rủi ro”
Công nghệ Deep CDR™ dành cho SVG
Công nghệ Deep CDR™, một trong những công nghệ cốt lõi cung cấp sức mạnh cho MetaDefender Core , không cố gắng đoán xem nội dung nào là độc hại. Nó giả định rằng bất kỳ nội dung thực thi hoặc hoạt động nào trong các tệp không đáng tin cậy đều tiềm ẩn rủi ro và sẽ loại bỏ hoặc làm sạch chúng.
Đối với SVG, điều đó có nghĩa là:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- Xóa CDATA: Loại bỏ mã ẩn bên trong các phần CDATA có thể nhúng logic có hại.
- Loại bỏ phần mềm độc hại: Chặn nội dung được đưa vào có thể thực thi các chương trình độc hại.
- Hình ảnh quy trình: Làm sạch đa lớp khử trùng hình ảnh nhúng và xóa hình ảnh bên ngoài.
- Chuẩn hóa & Xây dựng lại: Tạo SVG tuân thủ tiêu chuẩn chỉ với các thành phần trực quan an toàn.
- Tùy chọn Rasterize: Chuyển đổi SVG sang PNG hoặc PDF cho các quy trình làm việc không yêu cầu tương tác vector.
Cách tiếp cận này phù hợp với hướng dẫn bảo mật: làm sạch hoặc tạo môi trường giả lập cho SVG (hoặc quét chúng) để ngăn chặn việc thực thi mã.
Các trường hợp sử dụng hàng đầu với công nghệ Deep CDR™
Cổng email
Làm sạch các tệp đính kèm và tệp được liên kết (URL được giải quyết thông qua tải xuống) trước khi gửi. SVG được chuyển đổi thành SVG sạch sẽ giúp ngăn chặn việc thu thập thông tin đăng nhập và trình tải xuống.
Nền tảng cộng tác
Áp dụng công nghệ Deep CDR™ cho các tệp được chia sẻ qua các công cụ như Teams, Slack hoặc SharePoint. Việc làm sạch các tệp SVG ở đây đảm bảo rằng không có màn hình đăng nhập ẩn hoặc tập lệnh độc hại nào có thể đánh lừa người dùng trong quá trình cộng tác hàng ngày.
Cổng tải lên web
Thực hiện làm sạch tất cả các tệp được tải lên trang web, CMS hoặc hệ thống quản lý tài sản kỹ thuật số của bạn. Điều này ngăn chặn kẻ tấn công ẩn mã độc hại bên trong những thứ trông giống như logo hoặc đồ họa đơn giản.
Chuyển tệp tin & MFT ( Managed File Transfer )
Tích hợp công nghệ Deep CDR™ vào quy trình truyền tải tập tin để đảm bảo mọi tập tin, đặc biệt là những tập tin từ đối tác hoặc nhà cung cấp, đều an toàn trước khi được đưa vào mạng lưới của bạn. Điều này giúp giảm thiểu rủi ro chuỗi cung ứng do tài sản bị xâm phạm.
Tác động kinh doanh
Việc bỏ qua việc làm sạch SVG có thể dẫn đến:
- Trộm cắp thông tin đăng nhập: Các trang đăng nhập giả mạo thu thập thông tin đăng nhập của người dùng.
- Nhiễm phần mềm độc hại: Chuỗi chuyển hướng phân phối phần mềm tống tiền hoặc phần mềm đánh cắp.
- Vi phạm tuân thủ: Vi phạm liên quan đến dữ liệu nhạy cảm có thể dẫn đến tiền phạt và tổn hại đến danh tiếng.
Thực hành tốt nhất để ngăn chặn tấn công dựa trên SVG
- Chế độ mặc định: Không có JavaScript trong SVG từ các nguồn không đáng tin cậy.
- Làm sạch hoặc chuyển đổi thành ảnh raster: Áp dụng công nghệ Deep CDR™ cho tất cả các tệp SVG đầu vào.
- Kết hợp với CSP: Sử dụng để phòng thủ theo chiều sâu, không phải để kiểm soát chính.
- Kiểm tra và ghi nhật ký: Theo dõi mọi hành động Làm sạch để đảm bảo tuân thủ và giám định.
Tổng kết
Tấn công lừa đảo dựa trên SVG không phải là lý thuyết, nó đang xảy ra ngay bây giờ. Các công cụ phát hiện không thể theo kịp các kỹ thuật che giấu ngày càng tinh vi. Công nghệ Deep CDR™ cung cấp một phương pháp xác định, không tin tưởng tuyệt đối, loại bỏ rủi ro trước khi nó đến tay người dùng của bạn.
