Giriş
2021'den bu yana, Latin Amerika'da bankacılık ve finans sektörlerini hedef alan HTML kaçakçılığı siber saldırılarında bir artış gördük. Tehdit aktörleri, Mekotio, /style, Trickbot ve QakBot gibi truva atlarını yaymak için büyük ölçekli kötü amaçlı yazılım kampanyalarında bu kaçınma tekniğini kullanmaya devam ediyor. Gizlenmiş HTML kaçakçılığını tespit etmenin benzersiz zorlukları, onu kalıcı ve yaygın bir tehdit vektörü haline getirir.
HTML kaçakçılığı, kurbanların uç noktalarına kötü amaçlı yükler göndermek için çeşitli aldatma teknikleri kullanır. Tehdit aktörleri genellikle e-posta eklerinde kötü amaçlı komut dosyalarını gizler veya kötü amaçlı yazılım bulaşmış belgeleri paylaşır. Özellikle zor bir yaklaşım, HTML içeriğindeki kötü amaçlı kodu gizlemek için Base64 kodlamasını kullanmaktır.
Bu makalede, HTML kaçak yüklerini gizlemeye yönelik bir teknik olarak Base64 kodlaması ayrıntılı olarak anlatılmaktadır. Base64 kodlu tehditleri tespit etmenin doğasında var olan zorlukları ve kuruluşların bu taktiğe karşı nasıl sağlam savunmalar uygulayabileceklerini inceliyoruz. OPSWAT Gelişmiş tehdit önleme çözümleri.
Base64 Kodlamasının Aldatmacası
Base64 kodlaması, ikili verileri metne dönüştürme yöntemidir ve dosya iletimi ve e-posta ekleri dahil olmak üzere çeşitli meşru amaçlar için yaygın olarak kullanılır. Bununla birlikte, saldırganların kötü amaçlı verileri görünüşte zararsız dosyalarda gizlediği kaçak yük gizleme gibi teknikler aracılığıyla kötü amaçlı amaçlar için de kullanılabilir.
Bu yaklaşım, karmaşık gizleme yerine, Base64 ile kodlanmış bir yükü doğrudan aşağıdaki gibi bir HTML etiketine yerleştirir: <img>
Kötü amaçlı yazılım, yürütülebilir dosyaları iyi huylu metin olarak kodlayarak kötü amaçlı ikili dosyaları arayan filtrelerden kaçar. Hedef tarayıcı, komut dosyasının kodunu çözebilir ve yükü ana bilgisayarda birleştirebilir. Base64 kodlaması, ortak görüntüler kullanılırken bile güçlü saldırılara olanak tanır.
- Steganografi kullanılarak EXIF verilerine gizlenir.
- Piksellere gürültü olarak gömülü.
- Görüntü dosyasının sonuna eklenir.
Base64 Saldırı Akışı
Kodlanmış Tehditleri Tespit Etmede Karşılaşılan Zorluklar
Büyük ölçüde imza tabanlı algılamaya dayanan geleneksel antivirüs çözümleri, Base64 kodlaması tarafından gizlenen yeni kötü amaçlı yazılım türevlerini düzenli olarak gözden kaçırır ve sosyal mühendislik taktikleri, şüphelenmeyen son kullanıcılara Base64 kodlu yükleri iletmek için genellikle başarıyla kullanılır.
Steganografi gibi daha gelişmiş bir aldatmaca , kötü amaçlı yazılımları iyi huylu görüntüler ve medya dosyaları içinde gizler . Base64 kodlaması, kötü amaçlı kodu insanlar tarafından algılanamayan gürültü olarak gizleyebilir. Base64 kodlamasının veri aktarımları için meşru kullanımları olsa da, özellikle bilinmeyen kaynaklardan geliyorlarsa, Base64 kodlu dizeler içeren görüntülere karşı dikkatli olmak önemlidir.
Base64 kodlu tehditlerin algılanmasını engelleyen diğer zorluklar şunlardır:
- Birden çok dosyaya bölünen ve yerel olarak yeniden birleştirilen yükün kodlanması.
- Statik imza veritabanlarını atlayan kötü amaçlı yazılım.
- İmzayı bozan fazladan boşluklar veya karakterler ekleme.
- Geleneksel antivirüs programları tarafından nadiren kontrol edilen olağandışı dosya türlerinin eklenmesi.
- İmzalar güncellenmeden önce yeni varyantların hızlı dağıtımı.
Kaçak Yükleri Ortaya Çıkarın OPSWAT MetaDefender Core
Tek bir antivirüs motorunun ortaya çıkan tehditlere karşı etkinliği sınırlı olsa da, birden fazla motoru birleştirmek kötü amaçlı yazılım algılama oranlarını önemli ölçüde artırabilir. OPSWAT MetaDefender Core Bilinen ve sıfırıncı gün kötü amaçlı yazılımlarının %99,2'sini tespit etmek için 30'dan fazla kötü amaçlı yazılımdan koruma motorundan yararlanır.
Yeni kötü amaçlı yazılımları tespit etmek için statik imza veritabanlarını geliştirmek iyi bir başlangıç, ancak kaçak yüklerin antivirüs yazılımını geçmesi hala mümkün. İşletmelerin sıfırıncı gün saldırılarını önlemek için birden fazla güvenlik katmanına sahip güçlü bir derinlemesine savunma stratejisine ihtiyacı vardır. Bu, aşağıdaki gibi dinamik koruma teknolojilerinin kullanımını içerir Multiscanning, Deep CDR (İçerik Silahsızlandırma ve Yeniden Yapılandırma) ve Adaptive Sandbox. Bu teknolojiler kötü amaçlı yazılım saldırılarının erkenden tespit edilip engellenmesine (özellikle de bağlantı ve ekleri gizlemek için HTML kullananların) ve hassas verilerin korunmasına yardımcı olabilir.
Örnek bir sonuca bakın metadefender.opswat.com.
Deep CDR ve Adaptive Sandbox ile Proaktif Algılama
Deep CDR Base64 kodlama şemalarının yürütülmesini, dezenfekte edilmiş dosyaları potansiyel olarak kötü amaçlı kodlardan arındırarak ve yeniden oluşturarak önler. HTML dosyalarının içine gömülü görüntüler gibi dosya türleri için Deep CDR , sterilize edilmiş görüntünün güvenli bir şekilde geri yüklenmesini sağlamak için kod çözme, tehdit kaldırma ve yeniden yapılandırma işlemlerini gerçekleştirir.
Deep CDR Base64 enjeksiyon girişimlerini sterilize ederken görüntü doğruluğunu korur. Kullanıcılar, arka planda sorunsuz bir şekilde etkisiz hale getirilen potansiyel tehditlerle güvenli, kodu çözülmüş görüntüleri görüntüleyebilir. Bu, iş akışı kesintisi olmadan güçlü koruma sağlar.
MetaDefender Sandbox binlerce dosyayı kötü amaçlı yazılımlara karşı hızlı bir şekilde tarayan ve değerli Tehlike Göstergelerini (IOC'ler) belirlemek için her gizleme katmanını aynı anda ortaya çıkaran öykünme tabanlı bir kötü amaçlı yazılım analiz teknolojisidir.
Base64 ile kodlanmış yükler veya HTML kaçakçılığı gibi gizleme tekniklerinden yararlanan dosyaları analiz ederken, MetaDefender Sandbox dosyaları kapsamlı bir şekilde inceler, JavaScript'i ayıklar ve herhangi bir şüpheli etkinliği yakından izlemek için davranışlarını taklit eder. Bu uyarlanabilir analiz yeteneği, MetaDefender Sandbox Base64 ile kodlanmış kötü amaçlı yazılımların kodunu çözme ve yürütme girişimleri veya HTML içeriğine gömülü gizli komut dosyalarını çalıştırma girişimleri gibi kötü amaçlı eylemleri belirlemek için.
Çevre Savunmalarının Ötesine Geçmek
Base64 saldırılarının oluşturduğu gizli tehdit, şirketlerin neden savunmalarını bilinmeyen dış kaynaklara karşı korumaların ötesine taşımaları gerektiğinin altını çiziyor. Güçlü ağ güvenliğine rağmen kötü amaçlı dosyaların dahili uç noktalarınızı ihlal edebileceğini tahmin etmek çok önemlidir. Ek bir savunma katmanı olarak, sağlam uç nokta koruması vazgeçilmezdir. OPSWAT MetaDefender Gelen dosyaları birden çok kötü amaçlı yazılımdan koruma motoruyla tarayarak proaktif dosya güvenliğini kolaylaştırır. Bu, çevre savunmalarından kaçabilecek gizlenmiş sıfır gün tehditlerinin belirlenmesine yardımcı olur.
Deep CDR gibi iyileştirme teknolojileri, potansiyel olarak kötü niyetli dosyaları uç noktaları tehlikeye atmadan önce etkisiz hale getirerek ve yeniden yapılandırarak bunu bir adım öteye taşır. Bu tür kapsamlı dosya güvenliği önlemlerini uygulamak, çevrenizi ihlal eden tehditlerin neden olduğu hasarı sınırlar ve tek savunma hattı olarak çevre güvenliğine olan bağımlılığı azaltır.
OPSWAT kuruluşların çok katmanlı uç nokta güvenliği dağıtmasına olanak tanıyarak günümüz ortamında gelişen tehditlere karşı kritik bir savunma görevi görür.
