AI Hacking - Comment les pirates utilisent l'intelligence artificielle dans les cyberattaques

Lire la suite
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Domicile/ Blog / Comment stopper les attaques de phishing basées sur les...
Sécurité des fichiers

Comment stopper les attaques d'hameçonnage basées sur les SVG grâce à la Deep CDR?

par Vinh Lam, gestionnaire principal de programme technique
Partager cet article

Les attaquants arment de plus en plus les fichiers SVG avec du JavaScript intégré et des charges utiles codées en Base64 pour diffuser des pages de phishing et des malwares tout en échappant à la détection traditionnelle. Deep CDR™, l'une des technologies de base de MetaDefender Core™, neutralise cette catégorie d'attaque en supprimant tout le contenu actif (scripts, références externes, gestionnaires d'événements, etc.) et en délivrant une image propre, conforme aux normes, qui préserve les fonctionnalités tout en éliminant les risques. Les SVG (Scalable Vector Graphics) normaux et dignes de confiance n'ont pas besoin de JavaScript, qui est donc supprimé par défaut.

Pourquoi SVG ?

Le véhicule parfait pour les charges utiles d'hameçonnage

SVG est un format d'image vectorielle basé sur XML, et non une simple image bitmap.

Exemple de code d'un SVG

Un fichier SVG peut inclure

  • Scripts
  • Gestionnaires d'événements
  • Références externes

Ces caractéristiques sont utiles pour les graphiques interactifs, mais les pirates les exploitent pour :

  • Exécuter un code malveillant
  • Injecter des données XML malveillantes
  • Récupérer du contenu externe
  • Créer de fausses pages de connexion

Les attaquants combinent également les SVG avec la contrebande HTML/JS en intégrant des charges utiles Base64 dans des images apparemment inoffensives et en les décodant au moment de l'exécution. Cette technique fait désormais l'objet d'un suivi officiel en tant que MITRE ATT&CK "SVG Smuggling" (T1027.017).

Principaux enseignements

In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.

Ce que nous observons dans la nature

Pièce jointe à un courriel avec décodage Base64 Phishing

  • Livraison : Un courriel de routine contient une pièce jointe .svg que de nombreuses passerelles de messagerie traitent comme une image.
  • Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.

Un site Web Drive qui utilise des gestionnaires d'événements pour la redirection

  • Livraison : Un site compromis ou contenant des fautes de frappe utilise une superposition SVG transparente avec des régions cliquables.
  • Technique : Les attributs d'événements (onload, onclick) déclenchent des redirections à l'aide du décodage Base64.

Pourquoi la détection a du mal à s'imposer ici

Les approches traditionnelles telles que les signatures, les règles de configuration et l'inspection statique du code échouent lorsque les attaquants :

  • Obfusquer à l'aide de Base64, de XOR, d'un remplissage de texte indésirable ou de modèles polymorphes.
  • Différer l'exécution jusqu'au moment de l'exécution (par exemple, onload), ce qui rend l'analyse statique peu fiable.
  • Cacher la logique derrière les fonctions SVG légitimes telles que les gestionnaires d'événements et les références externes.

Fait intéressant

Le SVG est utilisé par 92 % des 1000 premiers sites web pour les icônes et les graphiques, selon les données de HTTP Archive.

"Si c'est actif, c'est risqué".

Deep CDR pour SVG

Deep CDR, l' une des technologies de base de MetaDefender Core, n'essaie pas de deviner ce qui est malveillant. Il suppose que tout contenu exécutable ou actif dans les fichiers non fiables est risqué et le supprime ou l'assainit.

Pour les SVG, cela signifie

  • Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
  • Supprimer CDATA : élimine le code caché à l'intérieur des sections CDATA qui pourrait intégrer une logique nuisible.
  • Supprimer l'injection : Bloque le contenu injecté susceptible d'exécuter des programmes malveillants.
  • Traiter l'image : Assainissement récursif des images intégrées et suppression des images externes.
  • Normaliser et reconstruire : Crée un SVG conforme aux normes avec uniquement des éléments visuels sûrs.
  • Optionnellement Rastériser : Convertit les SVG en PNG ou PDF pour les flux de travail qui ne nécessitent pas d'interactivité vectorielle.

Cette approche est conforme aux recommandations en matière de sécurité : assainir ou mettre en bac à sable les SVG (ou les rastériser) afin d'empêcher l'exécution du code.

Principaux cas d'utilisation du Deep CDR

Passerelles de courrier électronique

Assainir les pièces jointes entrantes et les fichiers liés (URL résolus par téléchargement) avant la livraison. Les SVG convertis en SVG propres empêchent les collecteurs d'informations d'identification d'effectuer le rendu et les téléchargeurs de déclencher l'envoi.

Plateformes de collaboration

Appliquez le Deep CDR aux fichiers partagés par le biais d'outils tels que Teams, Slack ou SharePoint. L'assainissement des SVG permet de s'assurer qu'aucun écran de connexion caché ou script malveillant ne peut tromper les utilisateurs au cours de la collaboration quotidienne.

Portails de téléchargement sur le web

Appliquez la désinfection à tous les fichiers téléchargés sur vos sites web, CMS ou systèmes de gestion des ressources numériques. Cela empêche les pirates de dissimuler du code dangereux dans ce qui semble être un simple logo ou un graphique.

Transfert de fichiers et MFT Managed File Transfer

Intégrez le Deep CDR dans les flux de transfert de fichiers afin que chaque fichier, en particulier ceux provenant de partenaires ou de fournisseurs, puisse être utilisé en toute sécurité avant d'entrer dans votre réseau. Cela permet de réduire les risques de la chaîne d'approvisionnement liés à des actifs compromis.

Impact sur les entreprises

Ignorer l'assainissement du SVG peut conduire à :

  • Vol de données d'identification : De fausses pages de connexion recueillent les informations d'identification des utilisateurs.
  • Infections par des logiciels malveillants : Les chaînes de redirection livrent des ransomwares ou des voleurs.
  • Violations de la conformité : Les violations de données sensibles peuvent entraîner des amendes et des atteintes à la réputation.

Bonnes pratiques pour prévenir les attaques basées sur les SVG

  • Position par défaut : Pas de JavaScript dans les SVG provenant de sources non fiables.
  • Assainir ou rastériser : Appliquer le Deep CDR à tous les fichiers SVG entrants.
  • Combiné avec le CSP : à utiliser comme défense en profondeur et non comme contrôle principal.
  • Audit et enregistrement : Suivi de chaque action d'assainissement à des fins de conformité et de criminalistique.

Réflexions finales

L'hameçonnage basé sur les SVG n'est pas un phénomène théorique, c'est un phénomène actuel. Les outils de détection ne peuvent pas suivre l'évolution des techniques d'obscurcissement. Le Deep CDR offre une approche déterministe, sans confiance, qui élimine le risque avant qu'il n'atteigne vos utilisateurs.

Réserver une démonstration
Tags :

Derniers messages

S'inscrire à la lettre d'information OPSWAT

Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT les nouvelles qui font avancer l'industrie.
Signez-moi

Suivez-nous sur les réseaux sociaux Media

Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.
S'abonner