Saldırganlar, geleneksel tespit yöntemlerinden kaçınarak kimlik avı sayfaları ve kötü amaçlı yazılım yaymak için, gömülü JavaScript ve Base64 kodlu yükler içeren SVG dosyalarını giderek daha fazla birer silah olarak kullanmaktadır. MetaDefender destekleyen temel teknolojilerden biri olan Deep CDR™ Teknolojisi, tüm aktif içeriği (komut dosyaları, harici referanslar, olay işleyiciler vb.) kaldırarak ve işlevselliği korurken riski ortadan kaldıran, temiz ve standartlara uygun bir görüntü sunarak bu tür saldırıları etkisiz hale getirir. Normal, güvenilir SVG'ler (Ölçeklenebilir Vektör Grafikleri) JavaScript'e ihtiyaç duymadığından, bu varsayılan olarak kaldırılır.
Neden SVG
Kimlik Avı Yükleri için Mükemmel Araç
SVG, basit bir bitmap değil, XML tabanlı bir vektör görüntü formatıdır.
Bir SVG dosyası şunları içerebilir:
- Senaryolar
- Olay işleyicileri
- Dış referanslar
Bu özellikler etkileşimli grafikler için kullanışlıdır, ancak saldırganlar bunları istismar eder:
- Kötü amaçlı kod çalıştırma
- Kötü amaçlı XML verileri enjekte etme
- Harici içerik getirme
- Sahte oturum açma sayfaları oluşturma
Saldırganlar ayrıca Base64 yüklerini görünüşte zararsız görüntülerin içine gömüp çalışma zamanında kodlarını çözerek SVG' leri HTML/JS kaçakçılığı ile birleştirmektedir. Bu teknik artık resmi olarak MITRE ATT&CK "SVG Kaçakçılığı" (T1027.017) olarak izlenmektedir.
Anahtar çıkarım
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Vahşi Doğada Gördüklerimiz
Base64-Decoded Kimlik Avı İçeren E-posta Eki
- Teslimat: Rutin bir e-posta, birçok e-posta ağ geçidinin görüntü olarak ele aldığı bir .svg eki taşır.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Yönlendirme için Olay İşleyicileri Kullanan Drive Web Sitesi
- Teslimat: Güvenliği ihlal edilmiş veya yazım hatası yapılmış bir site, tıklanabilir bölgelere sahip şeffaf bir SVG kaplaması kullanır.
- Teknik: Olay nitelikleri (onload, onclick) Base64 kod çözme kullanarak yönlendirmeleri tetikler.
Tespit Neden Burada Zorlanıyor?
İmzalar, kalıp kuralları ve statik kod denetimi gibi geleneksel yaklaşımlar saldırganlar tarafından başarısızlığa uğratılır:
- Base64, XOR, gereksiz metin dolgusu veya polimorfik şablonlarla gizleyin.
- Yürütmeyi çalışma zamanına kadar erteleyerek (örn. onload) statik analizi güvenilmez hale getirir.
- Olay işleyicileri ve harici referanslar gibi meşru SVG özelliklerinin arkasındaki mantığı gizleyin.
İlginç bir gerçek
HTTP Arşivi verilerine göre SVG, en iyi 1000 web sitesinin %92'si tarafından simgeler ve grafikler için kullanılmaktadır.
"Aktifse Risklidir"
SVG için Deep CDR™ Teknolojisi
MetaDefender Core destekleyen temel teknolojilerden biri olan Deep CDR™ Teknolojisi , neyin zararlı olduğunu tahmin etmeye çalışmaz . Güvenilmeyen dosyalardaki tüm yürütülebilir dosyaları veya aktif içerikleri riskli kabul eder ve bunları kaldırır ya da temizler.
SVG'ler için bu şu anlama gelir:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- CDATA'yı Kaldır: CDATA bölümlerinin içine zararlı mantık yerleştirebilecek gizli kodları ortadan kaldırır.
- Enjeksiyonu Kaldır: Kötü amaçlı programları çalıştırabilecek enjekte edilmiş içeriği engeller.
- Görüntü İşle: Gömülü görüntüleri yinelemeli olarak sterilize eder ve harici görüntüleri kaldırır.
- Normalleştir ve Yeniden Oluştur: Yalnızca güvenli görsel öğeler içeren standartlara uygun bir SVG oluşturur.
- İsteğe bağlı olarak Rasterleştir: Vektör etkileşimi gerektirmeyen iş akışları için SVG'yi PNG veya PDF'ye dönüştürür.
Bu yaklaşım güvenlik kılavuzuyla uyumludur: kod yürütülmesini önlemek için SVG'leri sterilize edin veya sandbox'a alın (veya rasterleştirin).
Deep CDR™ Teknolojisiyle En Önemli Kullanım Örnekleri
E-posta Ağ Geçitleri
Gelen ekleri ve bağlantılı dosyaları (indirme yoluyla çözümlenen URL'ler) teslimattan önce sterilize edin. Temiz SVG'lere dönüştürülen SVG'ler, kimlik bilgisi toplayıcılarının oluşturulmasını ve indiricilerin ateşlenmesini önler.
İşbirliği Platformları
Teams, Slack veya SharePoint gibi araçlar aracılığıyla paylaşılan dosyalara Deep CDR™ Teknolojisini uygulayın. SVG dosyalarının burada temizlenmesi, günlük işbirliği sırasında hiçbir gizli oturum açma ekranının veya kötü amaçlı komut dosyasının kullanıcıları kandırmamasını sağlar.
Web Yükleme Portalları
Web sitelerinize, CMS'nize veya dijital varlık yönetim sistemlerinize yüklenen tüm dosyalarda sanitizasyon uygulayın. Bu, saldırganların zararlı kodları basit bir logo veya grafik gibi görünen dosyaların içine saklamasını engeller.
Dosya Aktarımı ve MFT Managed File Transfer Dosya Aktarımı)
Deep CDR™ teknolojisini dosya aktarım iş akışlarına entegre ederek, her dosyanın, özellikle de iş ortaklarından veya tedarikçilerden gelenlerin, ağınıza girmeden önce güvenli bir şekilde kullanılmasını sağlayın. Bu, güvenliği ihlal edilmiş varlıkların neden olduğu tedarik zinciri risklerini azaltır.
İş Etkisi
SVG sanitizasyonunun göz ardı edilmesi şunlara yol açabilir:
- Kimlik Bilgisi Hırsızlığı: Sahte giriş sayfaları kullanıcı kimlik bilgilerini toplar.
- Kötü Amaçlı Yazılım Enfeksiyonları: Yönlendirme zincirleri fidye yazılımları veya hırsızlar sunar.
- Uyumluluk İhlalleri: Hassas verileri içeren ihlaller para cezalarını ve itibar kaybını tetikleyebilir.
SVG Tabanlı Saldırıları Önlemek için En İyi Uygulamalar
- Varsayılan duruş: Güvenilmeyen kaynaklardan gelen SVG'de JavaScript yok.
- Temizle veya rasterleştir: Gelen tüm SVG dosyalarına Deep CDR™ Teknolojisi'ni uygula.
- CSP ile birlikte: Birincil kontrol olarak değil, derinlemesine savunma olarak kullanın.
- Denetleyin ve günlüğe kaydedin: Uyumluluk ve adli tıp için her sterilizasyon eylemini izleyin.
Kapanış Düşünceleri
SVG tabanlı kimlik avı teorik bir tehdit değil, şu anda yaşanıyor. Algılama temelli araçlar, sürekli gelişen gizleme tekniklerine ayak uyduramıyor. Deep CDR™ Teknolojisi, deterministik ve sıfır güven temelli bir yaklaşım sunarak, risk kullanıcılarınıza ulaşmadan ortadan kaldırıyor.
