Saldırganlar, geleneksel algılamadan kaçarken kimlik avı sayfaları ve kötü amaçlı yazılımlar sunmak için gömülü JavaScript ve Base64 kodlu yükler içeren SVG dosyalarını giderek daha fazla silah olarak kullanıyor. MetaDefender Core™'a güç veren temel teknolojilerden biri olan Deep CDR™, tüm aktif içeriği (komut dosyaları, harici referanslar, olay işleyicileri vb.) kaldırarak ve riski ortadan kaldırırken işlevselliği koruyan temiz, standartlarla uyumlu bir görüntü sunarak bu saldırı sınıfını etkisiz hale getirir. Normal, güvenilir SVG'ler (Ölçeklenebilir Vektör Grafikleri) JavaScript'e ihtiyaç duymaz, bu nedenle varsayılan olarak kaldırılır.
Neden SVG
Kimlik Avı Yükleri için Mükemmel Araç
SVG, basit bir bitmap değil, XML tabanlı bir vektör görüntü formatıdır.
Bir SVG dosyası şunları içerebilir:
- Senaryolar
- Olay işleyicileri
- Dış referanslar
Bu özellikler etkileşimli grafikler için kullanışlıdır, ancak saldırganlar bunları istismar eder:
- Kötü amaçlı kod çalıştırma
- Kötü amaçlı XML verileri enjekte etme
- Harici içerik getirme
- Sahte oturum açma sayfaları oluşturma
Saldırganlar ayrıca Base64 yüklerini görünüşte zararsız görüntülerin içine gömüp çalışma zamanında kodlarını çözerek SVG' leri HTML/JS kaçakçılığı ile birleştirmektedir. Bu teknik artık resmi olarak MITRE ATT&CK "SVG Kaçakçılığı" (T1027.017) olarak izlenmektedir.
Anahtar çıkarım
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Vahşi Doğada Gördüklerimiz
Base64-Decoded Kimlik Avı İçeren E-posta Eki
- Teslimat: Rutin bir e-posta, birçok e-posta ağ geçidinin görüntü olarak ele aldığı bir .svg eki taşır.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Yönlendirme için Olay İşleyicileri Kullanan Drive Web Sitesi
- Teslimat: Güvenliği ihlal edilmiş veya yazım hatası yapılmış bir site, tıklanabilir bölgelere sahip şeffaf bir SVG kaplaması kullanır.
- Teknik: Olay nitelikleri (onload, onclick) Base64 kod çözme kullanarak yönlendirmeleri tetikler.
Tespit Neden Burada Zorlanıyor?
İmzalar, kalıp kuralları ve statik kod denetimi gibi geleneksel yaklaşımlar saldırganlar tarafından başarısızlığa uğratılır:
- Base64, XOR, gereksiz metin dolgusu veya polimorfik şablonlarla gizleyin.
- Yürütmeyi çalışma zamanına kadar erteleyerek (örn. onload) statik analizi güvenilmez hale getirir.
- Olay işleyicileri ve harici referanslar gibi meşru SVG özelliklerinin arkasındaki mantığı gizleyin.
İlginç bir gerçek
HTTP Arşivi verilerine göre SVG, en iyi 1000 web sitesinin %92'si tarafından simgeler ve grafikler için kullanılmaktadır.
"Aktifse Risklidir"
SVG için Deep CDR
MetaDefender Core 'a güç veren temel teknolojilerden biri olan Deep CDR, neyin kötü amaçlı olduğunu tahmin etmeye çalışmaz. Güvenilmeyen dosyalardaki tüm çalıştırılabilir veya etkin içeriklerin riskli olduğunu varsayar ve bunları kaldırır veya sterilize eder.
SVG'ler için bu şu anlama gelir:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- CDATA'yı Kaldır: CDATA bölümlerinin içine zararlı mantık yerleştirebilecek gizli kodları ortadan kaldırır.
- Enjeksiyonu Kaldır: Kötü amaçlı programları çalıştırabilecek enjekte edilmiş içeriği engeller.
- Görüntü İşle: Gömülü görüntüleri yinelemeli olarak sterilize eder ve harici görüntüleri kaldırır.
- Normalleştir ve Yeniden Oluştur: Yalnızca güvenli görsel öğeler içeren standartlara uygun bir SVG oluşturur.
- İsteğe bağlı olarak Rasterleştir: Vektör etkileşimi gerektirmeyen iş akışları için SVG'yi PNG veya PDF'ye dönüştürür.
Bu yaklaşım güvenlik kılavuzuyla uyumludur: kod yürütülmesini önlemek için SVG'leri sterilize edin veya sandbox'a alın (veya rasterleştirin).
Deep CDR ile En İyi Kullanım Örnekleri
E-posta Ağ Geçitleri
Gelen ekleri ve bağlantılı dosyaları (indirme yoluyla çözümlenen URL'ler) teslimattan önce sterilize edin. Temiz SVG'lere dönüştürülen SVG'ler, kimlik bilgisi toplayıcılarının oluşturulmasını ve indiricilerin ateşlenmesini önler.
İşbirliği Platformları
Teams, Slack veya SharePoint gibi araçlar aracılığıyla paylaşılan dosyalara Deep CDR uygulayın. SVG'lerin burada sterilize edilmesi, günlük işbirliği sırasında hiçbir gizli oturum açma ekranının veya kötü amaçlı komut dosyasının kullanıcıları kandıramamasını sağlar.
Web Yükleme Portalları
Web sitelerinize, CMS'nize veya dijital varlık yönetim sistemlerinize yüklenen tüm dosyalarda sanitizasyon uygulayın. Bu, saldırganların zararlı kodları basit bir logo veya grafik gibi görünen dosyaların içine saklamasını engeller.
Dosya Aktarımı ve MFT Managed File Transfer Dosya Aktarımı)
Deep CDR 'yi dosya aktarım iş akışlarına entegre edin, böylece her dosya, özellikle de ortaklardan veya satıcılardan gelenler, ağınıza girmeden önce güvenli bir şekilde kullanılabilir. Bu, tehlikeye atılmış varlıklardan kaynaklanan tedarik zinciri risklerini azaltır.
İş Etkisi
SVG sanitizasyonunun göz ardı edilmesi şunlara yol açabilir:
- Kimlik Bilgisi Hırsızlığı: Sahte giriş sayfaları kullanıcı kimlik bilgilerini toplar.
- Kötü Amaçlı Yazılım Enfeksiyonları: Yönlendirme zincirleri fidye yazılımları veya hırsızlar sunar.
- Uyumluluk İhlalleri: Hassas verileri içeren ihlaller para cezalarını ve itibar kaybını tetikleyebilir.
SVG Tabanlı Saldırıları Önlemek için En İyi Uygulamalar
- Varsayılan duruş: Güvenilmeyen kaynaklardan gelen SVG'de JavaScript yok.
- Sanitize edin veya rasterleştirin: Gelen tüm SVG dosyalarına Deep CDR uygulayın.
- CSP ile birlikte: Birincil kontrol olarak değil, derinlemesine savunma olarak kullanın.
- Denetleyin ve günlüğe kaydedin: Uyumluluk ve adli tıp için her sterilizasyon eylemini izleyin.
Kapanış Düşünceleri
SVG tabanlı kimlik avı teorik değil, şu anda gerçekleşiyor. Tespit tabanlı araçlar gelişen gizleme tekniklerine ayak uyduramıyor. Deep CDR , kullanıcılarınıza ulaşmadan önce riski ortadan kaldıran deterministik, sıfır güven yaklaşımı sunar.
