Le tecniche di attacco basate sulle immagini, come la steganografia e il poliglotta, non sono nuove per i team di sicurezza. Nonostante le soluzioni esistenti per mitigare i rischi, gli attori delle minacce escogitano sempre nuovi metodi per nascondere le minacce informatiche all'interno di formati di immagini affidabili. Una tecnica di attacco avanzata basata sulle immagini è nota come payload cross-site scripting (XSS) polyglot. Questi payload sfruttano immagini poliglotte, che contengono sia un'immagine valida che codice o script nascosti. I payload mirano specificamente alle vulnerabilità dei browser Web per eseguire attacchi XSS che rubano dati o installano malware, eludendo i rilevamenti come le restrizioni dei criteri di sicurezza dei contenuti (CSP).
Per essere all'avanguardia rispetto a queste nuove minacce ingannevoli, le organizzazioni necessitano di soluzioni di sicurezza a fiducia zero che vadano oltre il rilevamento dei rischi noti e che adottino misure preventive per garantire che qualsiasi attacco futuro venga sventato, indipendentemente dal fatto che il malware sia noto o nuovo. OPSWAT Deep Content Disarm and Reconstruction (CDR) previene gli attacchi furtivi basati sulle immagini sanificando i file di immagine, rimuovendo qualsiasi codice potenzialmente dannoso e ricostruendoli in modo che possano essere utilizzati in modo sicuro in qualsiasi ambiente digitale.
Livello di rischio dei vettori di attacco del malware basato sulle immagini
Steganografia
La steganografia delle immagini è stata osservata per la prima volta in un attacco informatico nel 2011 con il malware Duqu. In questa campagna, le informazioni venivano crittografate e nascoste all'interno di un file JPEG di base, con l'obiettivo di estrarre dati dal sistema preso di mira. La steganografia è un modo in cui i malintenzionati passano inosservati. Incorpora i payload del malware all'interno dei file di immagine modificando i dati dei pixel e rimane completamente inosservata fino alla decodifica.
La steganografia, tuttavia, funziona solo se è disponibile uno strumento di decodifica, il che la rende il metodo meno sofisticato di distribuzione del malware basato sulle immagini.
Poliglotta
Considerato più sofisticato della steganografia, Polyglot richiede la combinazione di due tipi di file diversi. Ad esempio, PHAR + JPEG (archivi PHP e file JPEG), GIFRAR (file GIF e RAR), JS+ JPEG (file JavaScript e JPEG), ecc. Le immagini poliglotte funzionano perfettamente come normali file immagine.
Tuttavia, possono anche essere sfruttati per introdurre di nascosto script dannosi o payload di dati. Questi payload aggirano le difese comuni ed eseguono i loro attacchi incorporati quando vengono aperti in ambienti mirati come i browser web. Il pericolo di Polyglot è che non richiede uno script per estrarre il codice dannoso; la funzione del browser lo eseguirà automaticamente.
Payload XSS poliglotti
I payload XSS polyglot rappresentano un rischio elevato in quanto combinano tecniche polyglot con attacchi XSS. I payload utilizzano immagini poliglotte per nascondere script che sfruttano le vulnerabilità del browser e aggirano protezioni chiave come i CSP. Ciò consente di iniettare script molto più pericolosi in siti e applicazioni affidabili.
L'utilizzo di immagini poliglotte può aggirare alcuni filtri dei siti web che bloccano l'hosting di contenuti esterni. Per ottenere questo risultato, la struttura HTML che precede l'iniezione deve essere legittima e funzionare come una variabile valida. Il processo si basa sull'XSS per interpretare il contenuto iniettato come JavaScript, che può aggirare le restrizioni sul caricamento delle immagini, nonché i criteri di cross-origin e le restrizioni di whitelist che ne conseguono. Il codice JavaScript viene quindi ospitato sul sito specifico in questione, consentendone l'esecuzione nel contesto previsto.
Prevenzione avanzata delle minacce con tecnologia Deep CDR™
La tecnologia Deep CDR™, che ha ottenuto un punteggio di protezione del 100% nel rapporto SE Lab, è leader di mercato nella prevenzione delle minacce basate su file conosciute e sconosciute, proteggendo da malware e attacchi zero-day. Offrendo funzionalità superiori come la sanificazione ricorsiva e la ricostruzione precisa dei file, la tecnologia Deep CDR™ garantisce file sicuri e utilizzabili. Inoltre, supporta centinaia di tipi di file, inclusi PDF, archivi e formati compatibili con gli archivi.
Nel 2018, OPSWAT due post sul blog in cui spiegava i rischi della steganografia e dei polyglot e illustrava l'uso della tecnologia Deep CDR™ per prevenire queste tecniche di attacco. In questa guida ci concentreremo maggiormente sui payload XSS Polyglot.
Sfruttamento di XSS con Polyglot JPEG e JavaScript per aggirare i CSP
Un payload XSS polyglot può essere eseguito in più contesti, tra cui HTML, stringhe di script, JavaScript e URL.
L'attore della minaccia cambierà quindi src valore dell'attributo in indice.html al nome del file di output, eseguire il server HTTP e aprire il file http://localhost:8000 nel browser. Vedere gli esempi qui sotto.
Prevenzione XSS Polyglot passo dopo passo con la tecnologia Deep CDR™
- Analizza la struttura dell'immagine per verificarne la conformità rispetto a specifiche note e affidabili. La tecnologia Deep CDR™ ottimizza i dati bitmap, rimuove i dati inutilizzati e quindi elabora i metadati.
- Neutralizza il potenziale malware attraverso l'estrazione del payload per rimuovere in modo sicuro gli script e i dati nascosti.
- Sanitizza le immagini disattivando e rimuovendo i vettori di minaccia e mantenendo l'immagine sicura da usare. Gli utenti vedranno solo l'immagine prevista senza alcun codice estraneo o sconosciuto potenzialmente dannoso.
Difesa in profondità con la piattaforma OPSWAT MetaDefender
Oltre alle immagini, la piattaformaOPSWAT MetaDefender fornisce una protezione multilivello contro le minacce basate sui file. OPSWAT MetaDefender combatte la costante evoluzione di nuovi tipi di attacco:
- Blocco di centinaia di minacce conosciute.
- Applicazione dell'analisi comportamentale per rilevare le minacce zero-day.
- Garantire che ogni file sospetto venga sanificato o bloccato in modo sicuro.
Questo approccio ecologico protegge i vostri dati e sistemi più sensibili anche da vettori di attacco non convenzionali.
Pensieri finali
Man mano che le tecniche degli avversari diventano più avanzate, la tecnologia di sicurezza deve evolversi ancora più rapidamente. OPSWAT oltre 20 anni di profonda esperienza nel campo della sicurezza, integrata in prodotti come MetaDefender e la tecnologia Deep CDR™. Questa esperienza riunisce informazioni sulle minacce costantemente aggiornate, algoritmi di rilevamento avanzati e difese a più livelli configurabili per bloccare gli attacchi prima che compromettano la vostra organizzazione.
Per saperne di più sulla neutralizzazione delle minacce basate su immagini nascoste e sul rafforzamento delle difese di sicurezza aziendali con OPSWAT MetaDefender , contattate il nostro team oggi stesso. Quando si tratta di superare in astuzia i cyberattacchi di domani, è bene installare oggi le giuste difese di sicurezza.
