Bildbasierte Angriffstechniken wie Steganografie und Polyglot sind für Sicherheitsteams nichts Neues. Trotz bestehender Lösungen zur Risikominderung entwickeln Bedrohungsakteure ständig neue Methoden, um Malware in vertrauten Bildformaten zu verstecken. Eine fortschrittliche bildbasierte Angriffstechnik ist als Cross-Site-Scripting (XSS)-Polyglot-Nutzdaten bekannt. Diese Payloads nutzen polyglotte Bilder aus, die sowohl ein gültiges Bild als auch versteckten Code oder Skripte enthalten. Die Payloads zielen speziell auf Schwachstellen in Webbrowsern ab, um XSS-Angriffe auszuführen, bei denen Daten gestohlen oder Malware installiert werden, und umgehen dabei Erkennungsmechanismen wie Einschränkungen der Content Security Policy (CSP).
Um diesen trügerischen neuen Bedrohungen einen Schritt voraus zu sein, benötigen Unternehmen Zero-Trust-Sicherheitslösungen, die über die Erkennung bekannter Risiken hinausgehen und vorbeugende Maßnahmen ergreifen, um sicherzustellen, dass künftige Angriffe vereitelt werden - unabhängig davon, ob es sich um bekannte oder neue Malware handelt. OPSWAT Deep Content Disarm and Reconstruction (CDR) verhindert heimliche bildbasierte Angriffe, indem es Bilddateien bereinigt, jeglichen potenziell bösartigen Code entfernt und sie so rekonstruiert, dass sie in jeder digitalen Umgebung sicher verwendet werden können.
Risikostufe von bildbasierten Malware-Angriffsvektoren
Steganografie
Bildsteganografie wurde erstmals bei einem Cyberangriff im Jahr 2011 mit der Malware Duqu beobachtet. Bei dieser Kampagne wurden Informationen verschlüsselt und in einer einfachen JPEG-Datei versteckt, um Daten aus dem Zielsystem zu extrahieren. Steganografie ist eine Möglichkeit für böswillige Akteure, unter dem Radar zu fliegen. Sie bettet Malware-Nutzdaten in Bilddateien ein, indem sie die Pixeldaten verändert, und bleibt bis zur Entschlüsselung völlig unentdeckt.
Die Steganografie funktioniert jedoch nur, wenn ein Dekodierungstool zur Verfügung steht, was sie zur am wenigsten ausgefeilten Methode für die Verbreitung von bildbasierter Malware macht.
Polyglott
Polyglot gilt als anspruchsvoller als Steganografie und erfordert eine Kombination von zwei verschiedenen Dateitypen. Zum Beispiel PHAR + JPEG (PHP-Archive und JPEG-Dateien), GIFRAR (GIF- und RAR-Dateien), JS+ JPEG (JavaScript- und JPEG-Dateien), usw. Polyglotte Bilder funktionieren genauso gut wie normale Bilddateien.
Sie können jedoch auch ausgenutzt werden, um verborgene bösartige Skripte oder Daten-Nutzdaten einzuschmuggeln. Diese Nutzdaten umgehen gängige Abwehrmechanismen und führen ihre eingebetteten Angriffe aus, wenn sie in gezielten Umgebungen wie Webbrowsern geöffnet werden. Die Gefahr von Polyglot besteht darin, dass kein Skript erforderlich ist, um bösartigen Code zu extrahieren; die Browserfunktion führt ihn automatisch aus.
XSS-Polyglot-Payloads
XSS-Polyglot-Payloads stellen ein erhöhtes Risiko dar, da sie Polyglot-Techniken mit XSS-Angriffen kombinieren. Die Nutzdaten verwenden polyglotte Bilder, um Skripte zu verbergen, die Browserschwachstellen ausnutzen und wichtige Schutzmaßnahmen wie CSPs umgehen. Auf diese Weise können viel gefährlichere Skripte in vertrauenswürdige Websites und Anwendungen eingeschleust werden.
Durch die Verwendung polyglotter Bilder können bestimmte Website-Filter umgangen werden, die das Hosting externer Inhalte blockieren. Um dies zu erreichen, muss die HTML-Struktur, die der Injektion vorausgeht, legitim sein und als eine gültige Variable fungieren. Der Prozess beruht auf XSS, um den injizierten Inhalt als JavaScript zu interpretieren, wodurch die Beschränkungen für das Hochladen von Bildern sowie die Cross-Origin-Policy und die darauf folgenden Whitelist-Beschränkungen umgangen werden können. Der JavaScript-Code wird dann auf der betreffenden Website gehostet, so dass er in seinem vorgesehenen Kontext ausgeführt werden kann.
Erweiterte Bedrohungsabwehr mit Deep CDR
Deep CDR Technologie, die im SE-Laborbericht eine 100-prozentige Schutzbewertung erhielt, ist marktführend bei der Abwehr bekannter und unbekannter dateibasierter Bedrohungen und schützt vor Malware und Zero-Day-Angriffen. Mit überlegenen Funktionen wie der rekursiven Bereinigung und der präzisen Rekonstruktion von Dateien sorgt Deep CDR für sichere und nutzbare Dateien. Darüber hinaus unterstützt es Hunderte von Dateitypen, darunter PDFs, Archive und mit Archiven kompatible Formate.
Im Jahr 2018 hat OPSWAT in zwei Blogbeiträgen die Risiken von Steganografie und Polyglots sowie die Verwendung von Deep CDR zur Verhinderung dieser Angriffstechniken erläutert. In diesem Leitfaden konzentrieren wir uns mehr auf die XSS-Polyglot-Payloads.
Ausnutzung von XSS mit Polyglot JPEG und JavaScript zur Umgehung von CSPs
Eine polyglotte XSS-Nutzlast kann in mehreren Kontexten ausgeführt werden, einschließlich HTML, Skriptstrings, JavaScript und URLs.
Der Bedrohungsakteur wird dann die src Attributwert in index.html auf den Namen der Ausgabedatei, starten Sie den HTTP-Server und öffnen Sie http://localhost:8000 im Browser. Siehe die Beispiele unten.
Verhinderung von XSS Polyglot Schritt für Schritt mit Deep CDR
- Analysiert die Bildstruktur, um sie anhand bekannter vertrauenswürdiger Bildspezifikationen zu überprüfen. Deep CDR optimiert Bitmap-Daten, entfernt ungenutzte Daten und verarbeitet dann Metadaten.
- Neutralisiert potenzielle Malware durch Extraktion der Nutzlast, um versteckte Skripte und Daten sicher zu entfernen.
- Bereinigt Bilder, indem es Bedrohungsvektoren entschärft und entfernt, während das Bild sicher in der Anwendung bleibt. Die Benutzer sehen nur das Bild, wie es beabsichtigt ist, ohne fremden oder unbekannten potenziell bösartigen Code.
Tiefenverteidigung mit OPSWAT MetaDefender Plattform
Die PlattformOPSWAT MetaDefender bietet nicht nur Bilder, sondern auch mehrschichtigen Schutz vor dateibasierten Bedrohungen. OPSWAT MetaDefender bekämpft die ständige Entwicklung neuer Angriffsarten:
- Blockiert Hunderte von bekannten Bedrohungen sofort nach dem Auspacken.
- Anwendung der Verhaltensanalyse zur Erkennung von Zero-Day-Bedrohungen.
- Sicherstellung, dass jede verdächtige Datei sicher bereinigt oder blockiert wird.
Dieser Ökosystemansatz schützt Ihre sensibelsten Daten und Systeme auch vor unkonventionellen Angriffsvektoren.
Abschließende Überlegungen
Da die Techniken der Angreifer immer fortschrittlicher werden, muss sich die Sicherheitstechnologie noch schneller weiterentwickeln. OPSWAT verfügt über mehr als 20 Jahre Erfahrung im Bereich der Sicherheit, die in Produkte wie MetaDefender platform und Deep CDR technology eingeflossen sind. Diese Erfahrung vereint ständig aktualisierte Bedrohungsdaten, fortschrittliche Erkennungsalgorithmen und konfigurierbare Verteidigungsschichten, um Angriffe zu stoppen, bevor sie Ihr Unternehmen gefährden.
Wenn Sie mehr über die Neutralisierung verdeckter bildbasierter Bedrohungen und die Stärkung der Sicherheitsabwehr von Unternehmen mit OPSWAT MetaDefender erfahren möchten, wenden Sie sich noch heute an unser Team. Wenn es darum geht, die Cyberangriffe von morgen zu überlisten, zahlt es sich aus, heute die richtigen Sicherheitsmaßnahmen zu installieren.
