Introduction
Depuis 2021, nous avons constaté une augmentation des cyberattaques de contrebande HTML ciblant les secteurs bancaire et financier en Amérique latine. Les auteurs de menace continuent d’utiliser cette technique d’évasion dans des campagnes de logiciels malveillants à grande échelle pour propager des chevaux de Troie tels que Mekotio, /style, Trickbot et QakBot. Les défis uniques liés à la détection de la contrebande HTML obfusquée en font un vecteur de menace persistant et omniprésent.
La contrebande HTML utilise diverses techniques de tromperie pour fournir des charges utiles malveillantes aux terminaux des victimes. Les auteurs de menace déguisent souvent des scripts malveillants dans des pièces jointes à des courriels ou partagent des documents infectés par des logiciels malveillants. Une approche particulièrement insaisissable consiste à utiliser l’encodage Base64 pour masquer le code malveillant dans le contenu HTML.
Cet article détaille l’encodage Base64 en tant que technique permettant d’obscurcir les charges utiles HTML de contrebande. Nous examinons les difficultés inhérentes à la détection des menaces codées en Base64 et comment les organisations peuvent mettre en œuvre des défenses robustes contre cette tactique en utilisant OPSWAT Solutions avancées de prévention des menaces.
La tromperie de l’encodage Base64
L’encodage Base64 est une méthode de conversion de données binaires en texte et est largement utilisé à diverses fins légitimes, notamment la transmission de fichiers et les pièces jointes aux e-mails. Cependant, il peut également être exploité à des fins malveillantes grâce à des techniques telles que l’obfuscation de la charge utile de contrebande, où les attaquants cachent des données malveillantes dans des fichiers apparemment inoffensifs.
Au lieu d’un obscurcissement complexe, cette approche intègre une charge utile codée en Base64 directement dans une balise HTML comme <img>
Les logiciels malveillants échappent aux filtres à la recherche de fichiers binaires malveillants en codant les fichiers exécutables sous forme de texte inoffensif. Le navigateur cible peut décoder le script et assembler la charge utile sur l’hôte. L’encodage Base64 permet des attaques puissantes, même lors de l’utilisation d’images courantes.
- Caché dans les données EXIF à l’aide de la stéganographie.
- Incrusté dans les pixels sous forme de bruit.
- Ajouté à la fin d’un fichier image.
Le flux d’attaque de la Base64
Défis liés à la détection des menaces codées
Les solutions antivirus traditionnelles qui s’appuient fortement sur la détection basée sur les signatures passent régulièrement à côté de nouvelles variantes de logiciels malveillants obscurcies par l’encodage Base64, et les tactiques d’ingénierie sociale sont souvent utilisées avec succès pour fournir des charges utiles codées en Base64 aux utilisateurs finaux peu méfiants.
Une tromperie plus avancée comme la stéganographie cache des logiciels malveillants dans des images et des fichiers multimédias inoffensifs . L’encodage Base64 peut déguiser un code malveillant en bruit imperceptible pour les humains. Bien que l’encodage Base64 ait des utilisations légitimes pour les transferts de données, il est important d’être prudent avec les images contenant des chaînes codées en Base64, en particulier si elles proviennent de sources inconnues.
Parmi les autres défis qui entravent la détection des menaces codées en Base64, citons :
- Encodage de la charge utile qui est divisée en plusieurs fichiers et réassemblée localement.
- Logiciels malveillants morphing qui contournent les bases de données de signatures statiques.
- Insertion d’espaces ou de caractères supplémentaires qui corrompent la signature.
- Insertion de types de fichiers inhabituels rarement vérifiés par les programmes antivirus traditionnels.
- Diffusion rapide des nouvelles variantes avant la mise à jour des signatures.
Découvrez des charges utiles de contrebande avec OPSWAT MetaDefender Core
Alors que les moteurs antivirus uniques ont une efficacité limitée contre les menaces émergentes, la combinaison de plusieurs moteurs peut augmenter considérablement les taux de détection des logiciels malveillants. OPSWAT MetaDefender Core S’appuie sur plus de 30 moteurs anti-malware pour détecter jusqu’à 99,2 % des malwares connus et zero-day.
L'amélioration des bases de données de signatures statiques pour détecter les nouveaux logiciels malveillants est un bon début, mais il reste possible que des charges utiles dissimulées parviennent à échapper aux logiciels antivirus. Les entreprises ont besoin d'une solide stratégie de défense en profondeur, comportant plusieurs niveaux de sécurité, pour prévenir les attaques « zero-day ». Cela inclut l'utilisation de technologies de protection dynamique telles que Multiscanning, la technologie Deep CDR™ (Content Disarm and Reconstruction) et Adaptive Sandbox. Ces technologies peuvent aider à détecter et à bloquer les attaques de logiciels malveillants à un stade précoce (en particulier celles qui utilisent le HTML pour dissimuler des liens et des pièces jointes) et à protéger les données sensibles.
Voir un exemple de résultat à l’adresse suivante : metadefender.opswat.com.
Détection proactive grâce à la technologie Deep CDR™ etSandbox Adaptive
La technologie Deep CDR™ empêche l'exécution des schémas d'encodage Base64 en décomposant et en régénérant des fichiers nettoyés, exempts de tout code potentiellement malveillant. Pour les types de fichiers tels que les images intégrées dans des fichiers HTML, la technologie Deep CDR™ procède au décodage, à la suppression des menaces et à la reconstruction afin de garantir que l'image nettoyée soit restaurée en toute sécurité.
La technologie Deep CDR™ préserve la qualité des images lors de la neutralisation des tentatives d'injection Base64. Les utilisateurs peuvent consulter des images sécurisées et décodées, les menaces potentielles étant neutralisées en arrière-plan de manière transparente. Cela garantit une protection efficace sans perturber le flux de travail.
MetaDefender est une technologie d'analyse des logiciels malveillants basée sur l'émulation qui analyse rapidement des milliers de fichiers à la recherche de logiciels malveillants et met simultanément à nu toutes les couches d'obfuscation afin d'identifier des indicateurs de compromission (IOC) pertinents.
Lorsqu'il analyse des fichiers recourant à des techniques d'obfuscation telles que les charges utiles encodées en Base64 ou le « smuggling » HTML, MetaDefender inspecte minutieusement les fichiers, en extrait le code JavaScript et simule leur comportement afin de surveiller de près toute activité suspecte. Cette capacité d'analyse adaptative permet à MetaDefender d'identifier les actions malveillantes, telles que les tentatives de décodage et d'exécution de logiciels malveillants encodés en Base64 ou l'exécution de scripts cachés intégrés dans du contenu HTML.
Aller au-delà des défenses de périmètre
La menace cachée posée par les attaques Base64 souligne pourquoi les entreprises doivent étendre leurs défenses au-delà des protections contre les sources extérieures inconnues. Il est crucial d’anticiper que des fichiers malveillants pourraient pénétrer dans vos terminaux internes malgré une sécurité réseau renforcée. En tant que couche de défense supplémentaire, une protection robuste des terminaux est indispensable. OPSWAT MetaDefender Facilite la sécurité proactive des fichiers en analysant les fichiers entrants à l’aide de plusieurs moteurs anti-malware. Cela permet d’identifier les menaces zero-day obscurcies qui peuvent échapper aux défenses du périmètre.
Les technologies de remédiation telles que Deep CDR™ vont encore plus loin en désactivant, neutralisant et reconstruisant les fichiers potentiellement malveillants avant qu'ils ne compromettent les terminaux. La mise en œuvre de mesures de sécurité des fichiers aussi complètes limite les dommages causés par les menaces qui franchissent votre périmètre et réduit la dépendance à l'égard de la sécurité périmétrique en tant que seule ligne de défense.
OPSWAT Permet aux entreprises de déployer une sécurité des terminaux multicouche, servant de défense essentielle contre les menaces en constante évolution dans le paysage actuel.
