AI Hacking - Wie Hacker künstliche Intelligenz bei Cyberangriffen einsetzen

Jetzt lesen
Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/ Blog / Wie man SVG-basierte Phishing-Angriffe mit Deep...
Datei-Sicherheit

Wie man SVG-basierte Phishing-Angriffe mit Deep CDR stoppt

von Vinh Lam, leitender technischer Programmmanager
Jetzt teilen

Angreifer nutzen SVG-Dateien mit eingebettetem JavaScript und Base64-codierten Nutzdaten zunehmend als Waffe, um Phishing-Seiten und Malware zu verbreiten und dabei die herkömmliche Erkennung zu umgehen. Deep CDR™, eine der Kerntechnologien von MetaDefender Core™, neutralisiert diese Art von Angriffen, indem es alle aktiven Inhalte (Skripte, externe Verweise, Event-Handler usw.) entfernt und ein sauberes, standardkonformes Bild liefert, das die Funktionalität bewahrt und gleichzeitig das Risiko eliminiert. Normale, vertrauenswürdige SVGs (Skalierbare Vektorgrafiken) benötigen kein JavaScript, daher wird es standardmäßig entfernt.

Warum SVG

Das perfekte Vehikel für Phishing-Payloads

SVG ist ein XML-basiertes Vektorgrafikformat, keine einfache Bitmap.

Beispiel für einen SVG-Codeausschnitt

Eine SVG-Datei kann enthalten:

  • Skripte
  • Ereignisbehandler
  • Externe Referenzen

Diese Funktionen sind nützlich für interaktive Grafiken, aber Angreifer nutzen sie aus, um:

  • Bösartigen Code ausführen
  • Einschleusen bösartiger XML-Daten
  • Externe Inhalte abrufen
  • Gefälschte Anmeldeseiten rendern

Angreifer kombinieren SVGs auch mit HTML/JS-Schmuggel, indem sie Base64-Nutzdaten in scheinbar harmlose Bilder einbetten und sie zur Laufzeit dekodieren. Diese Technik wird nun formell als MITRE ATT&CK "SVG Smuggling" (T1027.017) verfolgt .

Das Wichtigste zum Mitnehmen

In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.

Was wir in der freien Wildbahn zu sehen bekommen

E-Mail-Anhang mit Base64-verschlüsseltem Phishing

  • Zustellung: Eine Routine-E-Mail enthält einen .svg-Anhang, den viele E-Mail-Gateways als Bild behandeln.
  • Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.

Drive mit Event-Handlern für die Umleitung

  • Lieferung: Eine kompromittierte oder mit Tippfehlern versehene Website verwendet ein transparentes SVG-Overlay mit anklickbaren Bereichen.
  • Die Technik: Ereignisattribute (onload, onclick) lösen Umleitungen mit Base64-Dekodierung aus.

Warum die Detektion hier Schwierigkeiten macht

Herkömmliche Ansätze wie Signaturen, Musterregeln und statische Codeprüfung versagen, wenn Angreifer sie nutzen:

  • Obfuscate mit Base64, XOR, Junk-Text-Padding oder polymorphen Templates.
  • Die Ausführung bis zur Laufzeit aufschieben (z.B. onload), was die statische Analyse unzuverlässig macht.
  • Verstecken Sie die Logik hinter legitimen SVG-Funktionen wie Event-Handlern und externen Referenzen.

Interessante Tatsache

Laut Daten des HTTP-Archivs wird SVG von 92 % der 1000 wichtigsten Websites für Icons und Grafiken verwendet.

"Wenn es aktiv ist, ist es riskant"

Deep CDR für SVG

Deep CDR, eine der Kerntechnologien von MetaDefender Core, versucht nicht zu erraten, was bösartig ist. Sie geht davon aus, dass alle ausführbaren oder aktiven Inhalte in nicht vertrauenswürdigen Dateien riskant sind und entfernt oder bereinigt sie.

Für SVGs bedeutet dies:

  • Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
  • CDATA entfernen: Eliminiert versteckten Code in CDATA-Abschnitten, der schädliche Logik einbetten könnte.
  • Injektion entfernen: Blockiert eingeschleuste Inhalte, die bösartige Programme ausführen könnten.
  • Bild verarbeiten: Rekursiv werden eingebettete Bilder bereinigt und externe Bilder entfernt.
  • Normalisieren & Wiederherstellen: Erzeugt eine standardkonforme SVG mit nur sicheren visuellen Elementen.
  • Optional Rasterisieren: Konvertiert SVG in PNG oder PDF für Workflows, die keine Vektorinteraktivität erfordern.

Dieser Ansatz steht im Einklang mit den Sicherheitsrichtlinien: SVGs sanitisieren oder in eine Sandbox packen (oder rastern), um die Ausführung von Code zu verhindern.

Die wichtigsten Anwendungsfälle mit Deep CDR

E-Mail-Gateways

Bereinigen Sie eingehende Anhänge und verknüpfte Dateien (URLs, die per Download aufgelöst werden) vor der Übermittlung. SVGs, die in saubere SVGs konvertiert wurden, verhindern, dass Credential Harvester gerendert und Downloader ausgelöst werden.

Plattformen für die Zusammenarbeit

Wenden Sie Deep CDR auf Dateien an, die über Tools wie Teams, Slack oder SharePoint geteilt werden. Durch die Bereinigung von SVGs wird sichergestellt, dass keine versteckten Anmeldebildschirme oder bösartigen Skripte die Benutzer bei der täglichen Zusammenarbeit täuschen können.

Web-Upload-Portale

Erzwingen Sie die Bereinigung aller Dateien, die auf Ihre Websites, CMS oder Digital Asset Management-Systeme hochgeladen werden. Dies verhindert, dass Angreifer schädlichen Code in etwas verstecken, das wie ein einfaches Logo oder eine Grafik aussieht.

Dateiübertragung und MFT Managed File Transfer)

Integrieren Sie Deep CDR in Dateiübertragungs-Workflows, damit jede Datei, insbesondere die von Partnern oder Anbietern, sicher ist, bevor sie in Ihr Netzwerk gelangt. Dies verringert die Risiken in der Lieferkette durch gefährdete Assets.

Auswirkungen auf die Wirtschaft

Das Ignorieren der SVG-Sanitization kann zu:

  • Diebstahl von Zugangsdaten: Gefälschte Anmeldeseiten sammeln die Anmeldedaten der Benutzer.
  • Malware-Infektionen: Umleitungsketten liefern Ransomware oder Stealer.
  • Verstöße gegen die Vorschriften: Verstöße, die sensible Daten betreffen, können Geldstrafen und Rufschädigung nach sich ziehen.

Best Practices zur Verhinderung von SVG-basierten Angriffen

  • Standard-Einstellung: Kein JavaScript in SVG aus nicht vertrauenswürdigen Quellen.
  • Bereinigen oder Rasterisieren: Wenden Sie Deep CDR auf alle eingehenden SVG-Dateien an.
  • Kombiniert mit CSP: Verwendung als Defense-in-Depth, nicht als primäre Kontrolle.
  • Audit und Protokollierung: Verfolgen Sie jede Bereinigungsaktion für Compliance und Forensik.

Abschließende Überlegungen

SVG-basiertes Phishing ist keine Theorie, sondern findet bereits statt. Erkennungsbasierte Tools können mit den sich entwickelnden Verschleierungstechniken nicht mithalten. Deep CDR bietet einen deterministischen, vertrauensfreien Ansatz, der das Risiko beseitigt, bevor es Ihre Benutzer erreicht.

Demo buchen
Tags:

Neueste Beiträge

Registrieren Sie sich für den OPSWAT Newsletter

Holen Sie sich die neuesten OPSWAT Unternehmens-Updates zusammen mit Veranstaltungsinformationen und die Neuigkeiten, die die Branche voranbringen.
Anmelden

Folgen Sie uns auf Social Media

Folgen Sie OPSWAT auf LinkedIn, Facebook, Twitter und YouTube, um mehr zu erfahren!

Bleiben Sie auf dem Laufenden mit OPSWAT!

Melden Sie sich noch heute an, um die neuesten Unternehmensinformationen zu erhalten, Geschichten, Veranstaltungshinweise und mehr.
Abonnieren