Steganografi ve polyglot gibi görüntü tabanlı saldırı teknikleri güvenlik ekipleri için yeni değil. Riskleri azaltmaya yönelik mevcut çözümlere rağmen, tehdit aktörleri kötü amaçlı yazılımları güvenilir görüntü formatları içinde gizlemek için sürekli olarak yeni yöntemler geliştirmektedir. Gelişmiş bir görüntü tabanlı saldırı tekniği, siteler arası komut dosyası oluşturma (XSS) çoklu yükleri olarak bilinir. Bu yükler, hem geçerli bir görüntü hem de gizlenmiş kod veya komut dosyaları içeren çoklu görüntülerden faydalanır. Bu yükler özellikle web tarayıcısı açıklarını hedef alarak veri çalan veya kötü amaçlı yazılım yükleyen XSS saldırıları gerçekleştirmekte ve İçerik Güvenliği Politikası (CSP) kısıtlamaları gibi tespitlerden kaçmaktadır.
Bu aldatıcı yeni tehditlerin önüne geçmek için kuruluşlar, bilinen riskleri tespit etmenin ötesine geçen ve kötü amaçlı yazılım ister bilinen ister yeni olsun, gelecekteki saldırıların engellenmesini sağlamak için önleyici tedbirler alan sıfır güven güvenlik çözümlerine ihtiyaç duymaktadır. OPSWAT Deep Content Disarm and Reconstruction (CDR), görüntü dosyalarını sterilize ederek, potansiyel olarak kötü amaçlı kodları kaldırarak ve herhangi bir dijital ortamda güvenle kullanılabilmeleri için yeniden yapılandırarak gizli görüntü tabanlı saldırıları önler.
Görüntü Tabanlı Kötü Amaçlı Yazılım Saldırı Vektörlerinin Risk Düzeyi
Steganografi
Görüntü steganografisi ilk olarak 2011 yılında Duqu kötü amaçlı yazılımı ile gerçekleştirilen bir siber saldırıda gözlemlenmiştir. Bu kampanyada bilgiler şifrelenerek basit bir JPEG dosyasının içine gizlenmiş ve hedeflenen sistemden veri alınması amaçlanmıştır. Steganografi, kötü niyetli aktörlerin radarın altında uçmasının bir yoludur. Piksel verilerini değiştirerek kötü amaçlı yazılım yüklerini görüntü dosyalarının içine yerleştirir ve deşifre edilene kadar tamamen fark edilmeden kalır.
Ancak steganografi yalnızca bir şifre çözme aracı mevcutsa işe yarar, bu da onu görüntü tabanlı kötü amaçlı yazılım dağıtımının en az karmaşık yöntemi haline getirir.
Polyglot
Steganografiden daha sofistike olarak görülen Polyglot, iki farklı dosya türünün kombinasyonunu gerektirir. Örneğin, PHAR + JPEG (PHP arşivleri ve JPEG dosyaları), GIFRAR (GIF ve RAR dosyaları), JS+ JPEG (JavaScript ve JPEG dosyaları) vb. Çok dilli görüntüler normal görüntü dosyaları gibi mükemmel şekilde çalışır.
Bununla birlikte, gizlenmiş kötü amaçlı komut dosyalarını veya veri yüklerini kaçırmak için de kullanılabilirler. Bu yükler yaygın savunmaları atlatır ve web tarayıcıları gibi hedeflenen ortamlarda açıldığında gömülü saldırılarını yürütür. Polyglot'un tehlikesi, kötü amaçlı kodu ayıklamak için bir komut dosyası gerektirmemesidir; tarayıcı işlevi otomatik olarak çalıştıracaktır.
XSS Çoklu Yükleri
XSS polyglot yükleri, polyglot tekniklerini XSS saldırılarıyla birleştirerek yüksek bir risk oluşturmaktadır. Yükler, tarayıcı açıklarından yararlanan ve CSP'ler gibi temel korumaları atlayan komut dosyalarını gizlemek için çoklu görüntüleri kullanır. Bu, çok daha tehlikeli komut dosyalarının güvenilir sitelere ve uygulamalara enjekte edilmesini sağlar.
Çok dilli görüntülerin kullanılması, harici içerik barındırmayı engelleyen belirli web sitesi filtrelerini atlatabilir. Bunu başarmak için, enjeksiyondan önceki HTML yapısının geçerli bir değişken olarak işlev görerek meşru olması gerekir. Süreç, enjekte edilen içeriği JavaScript olarak yorumlamak için XSS'ye dayanır; bu da görüntü yüklemeyle ilgili kısıtlamaların yanı sıra çapraz köken politikası ve beyaz liste kısıtlamalarını da atlatabilir. JavaScript kodu daha sonra söz konusu sitede barındırılır ve amaçlanan bağlamda yürütülmesine izin verilir.
Gelişmiş Tehdit Önleme ile Deep CDR
Deep CDR SE Lab Report'ta %100 koruma derecesi elde eden teknoloji, hem bilinen hem de bilinmeyen dosya tabanlı tehditleri önlemede, kötü amaçlı yazılımlara ve sıfırıncı gün saldırılarına karşı koruma sağlamada pazar lideridir. Özyinelemeli sanitizasyon ve hassas dosya yeniden yapılandırma gibi üstün özellikler sunan Deep CDR güvenli ve kullanılabilir dosyalar sunar. Ayrıca, PDF'ler, arşivler ve arşivlerle uyumlu formatlar da dahil olmak üzere yüzlerce dosya türünü destekler.
2018 yılında, OPSWAT steganografi ve çoklu yük riskini açıklayan ve bu saldırı tekniklerini önlemek için Deep CDR adresini kullanan iki blog yazısı yayınladı. Bu kılavuzda, daha çok XSS Polyglot Payload'larına odaklanacağız.
Polyglot JPEG ve JavaScript kullanarak XSS'den yararlanma CSP'leri atlamak için
Bir XSS çoklu yükü HTML, kod dizeleri, JavaScript ve URL'ler dahil olmak üzere birden fazla bağlamda yürütülebilir.
Tehdit aktörü daha sonra şunları değiştirecektir src içindeki öznitelik değeri index.html 'yi çıktı dosyası adına değiştirin, HTTP sunucusunu çalıştırın ve http://localhost:8000 tarayıcıda. Aşağıdaki örneklere bakın.
XSS Polyglot ile adım adım önleme Deep CDR
- Bilinen güvenilir görüntü özelliklerine göre doğrulamak için görüntü yapısını analiz eder. Deep CDR bitmap verilerini optimize eder, kullanılmayan verileri kaldırır ve ardından meta verileri işler.
- Gizli komut dosyalarını ve verileri güvenli bir şekilde kaldırmak için potansiyel kötü amaçlı yazılımları yük çıkarma yoluyla etkisiz hale getirir.
- Görüntüyü kullanım için güvenli tutarken tehdit vektörlerini etkisiz hale getirerek ve kaldırarak görüntüleri sterilize eder. Kullanıcılar, herhangi bir yabancı veya bilinmeyen potansiyel olarak kötü amaçlı kod olmadan yalnızca görüntüyü amaçlandığı gibi göreceklerdir.
OPSWAT MetaDefender Platformu ile derinlemesine savunma
Görüntülerin ötesine geçen OPSWAT MetaDefender platformu, dosya tabanlı tehditlere karşı çok katmanlı koruma sağlar. OPSWAT MetaDefender , yeni saldırı türlerinin sürekli gelişimiyle mücadele eder:
- Yüzlerce bilinen tehdidi kutudan çıktığı anda engeller.
- Sıfırıncı gün tehditlerini tespit etmek için davranış analizi uygulama.
- Her şüpheli dosyanın güvenli bir şekilde sterilize edilmesini veya engellenmesini sağlamak.
Bu ekosistem yaklaşımı, en hassas verilerinizi ve sistemlerinizi alışılmadık saldırı vektörlerinden bile korur.
Son Düşünceler
Düşmanların teknikleri geliştikçe, güvenlik teknolojisinin daha da hızlı gelişmesi gerekir. OPSWAT , MetaDefender platformu ve Deep CDR teknolojisi gibi ürünlerde yerleşik olan 20 yılı aşkın derin güvenlik uzmanlığına sahiptir. Bu deneyim, saldırıları kuruluşunuzu tehlikeye atmadan önce durdurmak için sürekli güncellenen tehdit istihbaratını, gelişmiş tespit algoritmalarını ve yapılandırılabilir katmanlı savunmaları bir araya getirir.
Gizli görüntü tabanlı tehditleri etkisiz hale getirme ve OPSWAT MetaDefender ile kurumsal güvenlik savunmalarını güçlendirme hakkında daha fazla bilgi edinmek için bugün ekibimizle iletişime geçin. Yarının siber saldırılarını alt etmek söz konusu olduğunda, doğru güvenlik savunmalarını bugün kurmak işe yarar.
