Attackers increasingly weaponize SVG files with embedded JavaScript and Base64‑encoded payloads to deliver phishing pages and malware while evading traditional detection. Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core™, neutralizes this class of attack by removing all active content (scripts, external references, event handlers, etc.) and delivering a clean, standards‑compliant image that preserves functionality while eliminating risk. Normal, trustworthy SVGs (Scalable Vector Graphics) do not need JavaScript, so it is removed by default.
Neden SVG
Kimlik Avı Yükleri için Mükemmel Araç
SVG, basit bir bitmap değil, XML tabanlı bir vektör görüntü formatıdır.
Bir SVG dosyası şunları içerebilir:
- Senaryolar
- Olay işleyicileri
- Dış referanslar
Bu özellikler etkileşimli grafikler için kullanışlıdır, ancak saldırganlar bunları istismar eder:
- Kötü amaçlı kod çalıştırma
- Kötü amaçlı XML verileri enjekte etme
- Harici içerik getirme
- Sahte oturum açma sayfaları oluşturma
Saldırganlar ayrıca Base64 yüklerini görünüşte zararsız görüntülerin içine gömüp çalışma zamanında kodlarını çözerek SVG' leri HTML/JS kaçakçılığı ile birleştirmektedir. Bu teknik artık resmi olarak MITRE ATT&CK "SVG Kaçakçılığı" (T1027.017) olarak izlenmektedir.
Anahtar çıkarım
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
Vahşi Doğada Gördüklerimiz
Base64-Decoded Kimlik Avı İçeren E-posta Eki
- Teslimat: Rutin bir e-posta, birçok e-posta ağ geçidinin görüntü olarak ele aldığı bir .svg eki taşır.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Yönlendirme için Olay İşleyicileri Kullanan Drive Web Sitesi
- Teslimat: Güvenliği ihlal edilmiş veya yazım hatası yapılmış bir site, tıklanabilir bölgelere sahip şeffaf bir SVG kaplaması kullanır.
- Teknik: Olay nitelikleri (onload, onclick) Base64 kod çözme kullanarak yönlendirmeleri tetikler.
Tespit Neden Burada Zorlanıyor?
İmzalar, kalıp kuralları ve statik kod denetimi gibi geleneksel yaklaşımlar saldırganlar tarafından başarısızlığa uğratılır:
- Base64, XOR, gereksiz metin dolgusu veya polimorfik şablonlarla gizleyin.
- Yürütmeyi çalışma zamanına kadar erteleyerek (örn. onload) statik analizi güvenilmez hale getirir.
- Olay işleyicileri ve harici referanslar gibi meşru SVG özelliklerinin arkasındaki mantığı gizleyin.
İlginç bir gerçek
HTTP Arşivi verilerine göre SVG, en iyi 1000 web sitesinin %92'si tarafından simgeler ve grafikler için kullanılmaktadır.
"Aktifse Risklidir"
Deep CDR™ Technology for SVG
Deep CDR™ Technology, one of the core technologies that powers MetaDefender Core, doesn’t try to guess what is malicious. It assumes any executable or active content in untrusted files is risky and removes or sanitizes it.
SVG'ler için bu şu anlama gelir:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- CDATA'yı Kaldır: CDATA bölümlerinin içine zararlı mantık yerleştirebilecek gizli kodları ortadan kaldırır.
- Enjeksiyonu Kaldır: Kötü amaçlı programları çalıştırabilecek enjekte edilmiş içeriği engeller.
- Görüntü İşle: Gömülü görüntüleri yinelemeli olarak sterilize eder ve harici görüntüleri kaldırır.
- Normalleştir ve Yeniden Oluştur: Yalnızca güvenli görsel öğeler içeren standartlara uygun bir SVG oluşturur.
- İsteğe bağlı olarak Rasterleştir: Vektör etkileşimi gerektirmeyen iş akışları için SVG'yi PNG veya PDF'ye dönüştürür.
Bu yaklaşım güvenlik kılavuzuyla uyumludur: kod yürütülmesini önlemek için SVG'leri sterilize edin veya sandbox'a alın (veya rasterleştirin).
Top Use Cases with Deep CDR™ Technology
E-posta Ağ Geçitleri
Gelen ekleri ve bağlantılı dosyaları (indirme yoluyla çözümlenen URL'ler) teslimattan önce sterilize edin. Temiz SVG'lere dönüştürülen SVG'ler, kimlik bilgisi toplayıcılarının oluşturulmasını ve indiricilerin ateşlenmesini önler.
İşbirliği Platformları
Apply Deep CDR™ Technology to files shared through tools like Teams, Slack, or SharePoint. Sanitizing SVGs here ensures that no hidden login screens or malicious scripts can trick users during everyday collaboration.
Web Yükleme Portalları
Web sitelerinize, CMS'nize veya dijital varlık yönetim sistemlerinize yüklenen tüm dosyalarda sanitizasyon uygulayın. Bu, saldırganların zararlı kodları basit bir logo veya grafik gibi görünen dosyaların içine saklamasını engeller.
Dosya Aktarımı ve MFT Managed File Transfer Dosya Aktarımı)
Integrate Deep CDR™ Technology into file transfer workflows so every file, especially those from partners or vendors, is safe to use before entering your network. This reduces supply chain risks from compromised assets.
İş Etkisi
SVG sanitizasyonunun göz ardı edilmesi şunlara yol açabilir:
- Kimlik Bilgisi Hırsızlığı: Sahte giriş sayfaları kullanıcı kimlik bilgilerini toplar.
- Kötü Amaçlı Yazılım Enfeksiyonları: Yönlendirme zincirleri fidye yazılımları veya hırsızlar sunar.
- Uyumluluk İhlalleri: Hassas verileri içeren ihlaller para cezalarını ve itibar kaybını tetikleyebilir.
SVG Tabanlı Saldırıları Önlemek için En İyi Uygulamalar
- Varsayılan duruş: Güvenilmeyen kaynaklardan gelen SVG'de JavaScript yok.
- Sanitize or rasterize: Apply Deep CDR™ Technology to all inbound SVG files.
- CSP ile birlikte: Birincil kontrol olarak değil, derinlemesine savunma olarak kullanın.
- Denetleyin ve günlüğe kaydedin: Uyumluluk ve adli tıp için her sterilizasyon eylemini izleyin.
Kapanış Düşünceleri
SVG-based phishing is not theoretical, it’s happening now. Detection-based tools can’t keep up with evolving obfuscation techniques. Deep CDR™ Technology offers a deterministic, zero-trust approach, removing the risk before it reaches your users.
