Steganografi ve polyglot gibi görüntü tabanlı saldırı teknikleri güvenlik ekipleri için yeni değil. Riskleri azaltmaya yönelik mevcut çözümlere rağmen, tehdit aktörleri kötü amaçlı yazılımları güvenilir görüntü formatları içinde gizlemek için sürekli olarak yeni yöntemler geliştirmektedir. Gelişmiş bir görüntü tabanlı saldırı tekniği, siteler arası komut dosyası oluşturma (XSS) çoklu yükleri olarak bilinir. Bu yükler, hem geçerli bir görüntü hem de gizlenmiş kod veya komut dosyaları içeren çoklu görüntülerden faydalanır. Bu yükler özellikle web tarayıcısı açıklarını hedef alarak veri çalan veya kötü amaçlı yazılım yükleyen XSS saldırıları gerçekleştirmekte ve İçerik Güvenliği Politikası (CSP) kısıtlamaları gibi tespitlerden kaçmaktadır.
Bu aldatıcı yeni tehditlerin önüne geçmek için kuruluşlar, bilinen riskleri tespit etmenin ötesine geçen ve kötü amaçlı yazılım ister bilinen ister yeni olsun, gelecekteki saldırıların engellenmesini sağlamak için önleyici tedbirler alan sıfır güven güvenlik çözümlerine ihtiyaç duymaktadır. OPSWAT Deep Content Disarm and Reconstruction (CDR), görüntü dosyalarını sterilize ederek, potansiyel olarak kötü amaçlı kodları kaldırarak ve herhangi bir dijital ortamda güvenle kullanılabilmeleri için yeniden yapılandırarak gizli görüntü tabanlı saldırıları önler.
Görüntü Tabanlı Kötü Amaçlı Yazılım Saldırı Vektörlerinin Risk Düzeyi
Steganografi
Görüntü steganografisi ilk olarak 2011 yılında Duqu kötü amaçlı yazılımı ile gerçekleştirilen bir siber saldırıda gözlemlenmiştir. Bu kampanyada bilgiler şifrelenerek basit bir JPEG dosyasının içine gizlenmiş ve hedeflenen sistemden veri alınması amaçlanmıştır. Steganografi, kötü niyetli aktörlerin radarın altında uçmasının bir yoludur. Piksel verilerini değiştirerek kötü amaçlı yazılım yüklerini görüntü dosyalarının içine yerleştirir ve deşifre edilene kadar tamamen fark edilmeden kalır.
Ancak steganografi yalnızca bir şifre çözme aracı mevcutsa işe yarar, bu da onu görüntü tabanlı kötü amaçlı yazılım dağıtımının en az karmaşık yöntemi haline getirir.
Polyglot
Steganografiden daha sofistike olarak görülen Polyglot, iki farklı dosya türünün kombinasyonunu gerektirir. Örneğin, PHAR + JPEG (PHP arşivleri ve JPEG dosyaları), GIFRAR (GIF ve RAR dosyaları), JS+ JPEG (JavaScript ve JPEG dosyaları) vb. Çok dilli görüntüler normal görüntü dosyaları gibi mükemmel şekilde çalışır.
Bununla birlikte, gizlenmiş kötü amaçlı komut dosyalarını veya veri yüklerini kaçırmak için de kullanılabilirler. Bu yükler yaygın savunmaları atlatır ve web tarayıcıları gibi hedeflenen ortamlarda açıldığında gömülü saldırılarını yürütür. Polyglot'un tehlikesi, kötü amaçlı kodu ayıklamak için bir komut dosyası gerektirmemesidir; tarayıcı işlevi otomatik olarak çalıştıracaktır.
XSS Çoklu Yükleri
XSS polyglot yükleri, polyglot tekniklerini XSS saldırılarıyla birleştirerek yüksek bir risk oluşturmaktadır. Yükler, tarayıcı açıklarından yararlanan ve CSP'ler gibi temel korumaları atlayan komut dosyalarını gizlemek için çoklu görüntüleri kullanır. Bu, çok daha tehlikeli komut dosyalarının güvenilir sitelere ve uygulamalara enjekte edilmesini sağlar.
Çok dilli görüntülerin kullanılması, harici içerik barındırmayı engelleyen belirli web sitesi filtrelerini atlatabilir. Bunu başarmak için, enjeksiyondan önceki HTML yapısının geçerli bir değişken olarak işlev görerek meşru olması gerekir. Süreç, enjekte edilen içeriği JavaScript olarak yorumlamak için XSS'ye dayanır; bu da görüntü yüklemeyle ilgili kısıtlamaların yanı sıra çapraz köken politikası ve beyaz liste kısıtlamalarını da atlatabilir. JavaScript kodu daha sonra söz konusu sitede barındırılır ve amaçlanan bağlamda yürütülmesine izin verilir.
Deep CDR™ Teknolojisiyle Gelişmiş Tehdit Önleme
SE Lab Raporu'nda %100 koruma derecesi elde eden Deep CDR™ Teknolojisi, hem bilinen hem de bilinmeyen dosya tabanlı tehditleri önleme, kötü amaçlı yazılımlara ve sıfırıncı gün saldırılarına karşı koruma sağlama konusunda pazar lideridir. Derinlemesine temizleme ve hassas dosya yeniden yapılandırma gibi üstün özellikler sunan Deep CDR™ Teknolojisi, güvenli ve kullanılabilir dosyalar sağlar. Ayrıca, PDF'ler, arşivler ve arşivlerle uyumlu formatlar dahil olmak üzere yüzlerce dosya türünü destekler.
2018 yılında OPSWAT , steganografi ve çok dilli saldırıların risklerini açıklayan ve bu saldırı tekniklerini önlemek için Deep CDR™ Teknolojisini kullanan iki blog yazısı OPSWAT . Bu kılavuzda ise XSS çok dilli yüklerine daha fazla odaklanacağız.
Polyglot JPEG ve JavaScript kullanarak XSS'den yararlanma CSP'leri atlamak için
Bir XSS çoklu yükü HTML, kod dizeleri, JavaScript ve URL'ler dahil olmak üzere birden fazla bağlamda yürütülebilir.
Tehdit aktörü daha sonra şunları değiştirecektir src içindeki öznitelik değeri index.html 'yi çıktı dosyası adına değiştirin, HTTP sunucusunu çalıştırın ve http://localhost:8000 tarayıcıda. Aşağıdaki örneklere bakın.
Deep CDR™ Teknolojisiyle XSS Polyglot'u adım adım önleme
- Görüntü yapısını analiz ederek, bilinen güvenilir görüntü özellikleriyle karşılaştırarak doğrular. Deep CDR™ Teknolojisi, bitmap verilerini optimize eder, kullanılmayan verileri kaldırır ve ardından meta verileri işler.
- Gizli komut dosyalarını ve verileri güvenli bir şekilde kaldırmak için potansiyel kötü amaçlı yazılımları yük çıkarma yoluyla etkisiz hale getirir.
- Görüntüyü kullanım için güvenli tutarken tehdit vektörlerini etkisiz hale getirerek ve kaldırarak görüntüleri sterilize eder. Kullanıcılar, herhangi bir yabancı veya bilinmeyen potansiyel olarak kötü amaçlı kod olmadan yalnızca görüntüyü amaçlandığı gibi göreceklerdir.
OPSWAT MetaDefender Platformu ile derinlemesine savunma
Görüntülerin ötesine geçen OPSWAT MetaDefender platformu, dosya tabanlı tehditlere karşı çok katmanlı koruma sağlar. OPSWAT MetaDefender , yeni saldırı türlerinin sürekli gelişimiyle mücadele eder:
- Yüzlerce bilinen tehdidi kutudan çıktığı anda engeller.
- Sıfırıncı gün tehditlerini tespit etmek için davranış analizi uygulama.
- Her şüpheli dosyanın güvenli bir şekilde sterilize edilmesini veya engellenmesini sağlamak.
Bu ekosistem yaklaşımı, en hassas verilerinizi ve sistemlerinizi alışılmadık saldırı vektörlerinden bile korur.
Son Düşünceler
Saldırganların teknikleri giderek daha gelişmiş hale geldikçe, güvenlik teknolojisi de daha hızlı bir şekilde gelişmelidir. OPSWAT , MetaDefender ve Deep CDR™ Teknolojisi gibi ürünlere yansıtılan 20 yılı aşkın derin güvenlik uzmanlığıyla OPSWAT . Bu deneyim, sürekli güncellenen tehdit istihbaratı, gelişmiş algılama algoritmaları ve yapılandırılabilir katmanlı savunma sistemlerini bir araya getirerek, saldırıların kuruluşunuzu tehlikeye atmadan önce durdurulmasını sağlar.
Gizli görüntü tabanlı tehditleri etkisiz hale getirme ve OPSWAT MetaDefender ile kurumsal güvenlik savunmalarını güçlendirme hakkında daha fazla bilgi edinmek için bugün ekibimizle iletişime geçin. Yarının siber saldırılarını alt etmek söz konusu olduğunda, doğru güvenlik savunmalarını bugün kurmak işe yarar.
