تقنيات الهجوم القائمة على الصور مثل التشفير الخفي (steganography) والتعددية اللغوية (polyglot) ليست جديدة على فرق الأمن. على الرغم من وجود حلول المخاطر، إلا أن الجهات التهديدية تبتكر باستمرار أساليب جديدة لإخفاء البرامج الضارة داخل تنسيقات الصور الموثوقة. إحدى تقنيات الهجوم المتقدمة القائمة على الصور تُعرف باسم الحمولات متعددة اللغات للبرمجة النصية عبر المواقع (XSS). تستغل هذه الحمولات الصور متعددة اللغات، التي تحتوي على صورة صالحة ورموز أو نصوص برمجية مخفية. تستهدف الحمولات على وجه التحديد نقاط الضعف في متصفح الويب لتنفيذ هجمات XSS التي تسرق البيانات أو تثبت البرامج الضارة، متجنبةً الكشف مثل قيود سياسة أمان المحتوى (CSP).
للبقاء في صدارة هذه التهديدات الجديدة المضللة، تحتاج المؤسسات حلول أمنية لا تعتمد على الثقة حلول اكتشاف المخاطر المعروفة وتتخذ تدابير وقائية لضمان إحباط أي هجمات مستقبلية، سواء كانت البرامج الضارة معروفة أو جديدة. يمنع OPSWAT Deep Content Disarm and Reconstruction CDR) الهجمات الخفية القائمة على الصور عن طريق تنظيف ملفات الصور وإزالة أي رموز ضارة محتملة وإعادة بنائها بحيث يمكن استخدامها بأمان في أي بيئة رقمية.
مستوى خطر ناقلات هجوم البرامج الضارة المستندة إلى الصور
إخفاء المعلومات
تمت ملاحظة إخفاء المعلومات للصور لأول مرة في هجوم إلكتروني في عام 2011 باستخدام برنامج Duqu الضار. في هذه الحملة ، تم تشفير المعلومات وإخفائها داخل ملف JPEG أساسي ، بهدف استخراج البيانات من النظام المستهدف. إخفاء المعلومات هو إحدى الطرق التي تطير بها الجهات الفاعلة الضارة تحت الرادار. يقوم بتضمين حمولات البرامج الضارة داخل ملفات الصور عن طريق تعديل بيانات البكسل ، ويبقى غير مكتشف تماما حتى يتم فك تشفيره.
ومع ذلك ، لا يعمل إخفاء المعلومات إلا إذا كانت هناك أداة فك تشفير متاحة ، مما يجعلها الطريقة الأقل تعقيدا لتسليم البرامج الضارة المستندة إلى الصور.
بوليغلوت
ينظر إلى Polyglot على أنه أكثر تعقيدا من إخفاء المعلومات ، ويتطلب مزيجا من نوعين مختلفين من الملفات. على سبيل المثال ، PHAR + JPEG (أرشيفات PHP وملفات JPEG) ، GIFRAR (ملفات GIF و RAR) ، JS + JPEG (ملفات JavaScript و JPEG) ، إلخ. تعمل الصور متعددة اللغات بشكل جيد مثل ملفات الصور العادية.
ومع ذلك ، يمكن أيضا استغلالها لتهريب نصوص أو حمولات بيانات ضارة مخفية. تتجاوز هذه الحمولات الدفاعات الشائعة وتنفذ هجماتها المضمنة عند فتحها في بيئات مستهدفة مثل متصفحات الويب. خطر متعدد اللغات هو أنه لا يتطلب نصا لاستخراج التعليمات البرمجية الضارة. ستقوم وظيفة المتصفح بتشغيله تلقائيا.
حمولات XSS متعددة اللغات
تمثل حمولات XSS متعددة اللغات خطرا مرتفعا من خلال الجمع بين تقنيات متعددة اللغات وهجمات XSS. تستخدم الحمولات صورا متعددة اللغات لإخفاء البرامج النصية التي تستغل نقاط الضعف في المتصفح وتتجاوز الحماية الرئيسية مثل CSPs. يتيح ذلك إدخال نصوص برمجية أكثر خطورة في المواقع والتطبيقات الموثوق بها.
يمكن أن يؤدي استخدام الصور متعددة اللغات إلى التحايل على بعض عوامل تصفية مواقع الويب التي تحظر استضافة المحتوى الخارجي. لتحقيق ذلك ، يجب أن تكون بنية HTML التي تسبق الحقن شرعية ، وتعمل كمتغير صالح. تعتمد العملية على XSS لتفسير المحتوى المحقون على أنه جافا سكريبت ، والذي يمكنه تجاوز القيود المفروضة على تحميل الصور ، بالإضافة إلى سياسة عبر الأصل وقيود القائمة البيضاء التي تليها. ثم يتم استضافة شفرة JavaScript على الموقع المحدد المعني ، مما يسمح لها بالتنفيذ في السياق المقصود.
الوقاية المتقدمة من التهديدات باستخدام تقنية Deep CDR™
تعد تقنية Deep CDR™، التي حصلت على تصنيف حماية بنسبة 100% في تقرير SE Lab، رائدة في السوق في مجال منع التهديدات المعروفة وغير المعروفة المستندة إلى الملفات، وتوفر الحماية ضد البرامج الضارة هجمات فورية. وتقدم تقنية Deep CDR™ ملفات آمنة وقابلة للاستخدام من خلال ميزات فائقة مثل التطهير التكراري وإعادة بناء الملفات بدقة. بالإضافة إلى ذلك، فهي تدعم مئات أنواع الملفات، بما في ذلك ملفات PDF والأرشيفات والتنسيقات المتوافقة مع الأرشيفات.
في عام 2018، OPSWAT مقالتين على مدونتها تشرحان مخاطر تقنيات إخفاء البيانات (الستيجانوغرافي) والهجمات متعددة اللغات ، وكيفية استخدام تقنية Deep CDR™ لمنع هذه الأساليب الهجومية. وفي هذا الدليل، سنركز بشكل أكبر على حمولات XSS متعددة اللغات.
استغلال XSS باستخدام متعدد اللغات JPEG وجافا سكريبت لتجاوز CSPs
يمكن تنفيذ حمولة XSS متعددة اللغات في سياقات متعددة، بما في ذلك HTML وسلاسل البرامج النصية وجافا سكريبت وعناوين URL.
سيتغير ممثل التهديد بعد ذلك SRC قيمة السمة في index.html إلى اسم ملف الإخراج ، قم بتشغيل خادم HTTP وفتحه http://localhost:8000 في المتصفح. انظر العينات أدناه.
الوقاية من هجمات XSS في Polyglot خطوة بخطوة باستخدام تقنية Deep CDR™
- تحلل بنية الصورة للتحقق من مطابقتها لمواصفات الصور الموثوقة المعروفة. تعمل تقنية Deep CDR™ على تحسين بيانات الصور النقطية، وإزالة البيانات غير المستخدمة، ثم معالجة البيانات الوصفية.
- يحيد البرامج الضارة المحتملة من خلال استخراج الحمولة لإزالة البرامج النصية والبيانات المخفية بأمان.
- يطهر الصور عن طريق نزع سلاح ناقلات التهديد وإزالتها مع الحفاظ على الصورة آمنة للاستخدام. سيرى المستخدمون الصورة فقط على النحو المنشود دون أي رمز غريب أو غير معروف يحتمل أن يكون ضارا.
الدفاع في العمق مع OPSWAT MetaDefender رصيف
تجاوز الصور ، فإن OPSWAT MetaDefender يوفر النظام الأساسي حماية متعددة الطبقات ضد التهديدات المستندة إلى الملفات. OPSWAT MetaDefender يكافح التطور المستمر لأنواع الهجمات الجديدة من خلال:
- منع مئات التهديدات المعروفة خارج الصندوق.
- تطبيق التحليل السلوكي للكشف عن تهديدات يوم الصفر.
- التأكد من تعقيم أو حظر كل ملف مشبوه بأمان.
يؤمن نهج النظام البيئي هذا بياناتك وأنظمتك الأكثر حساسية حتى من نواقل الهجوم غير التقليدية.
افكار اخيرة
مع تزايد تطور أساليب المهاجمين، يتعين على تقنيات الأمن أن تتطور بوتيرة أسرع. OPSWAT بخبرة أمنية عميقة تمتد لأكثر من 20 عامًا، والتي تم تضمينها في منتجات مثل MetaDefender وتقنية Deep CDR™. تجمع هذه الخبرة بين معلومات استخباراتية مستمرة التحديث حول التهديدات، وخوارزميات كشف متطورة، ودفاعات متعددة الطبقات قابلة للتكوين، وذلك لصد الهجمات قبل أن تلحق الضرر بمؤسستك.
لمعرفة المزيد حول تحييد التهديدات السرية المستندة إلى الصور وتعزيز دفاعات أمان المؤسسة باستخدام OPSWAT MetaDefender، اتصل بفريقنا اليوم. عندما يتعلق الأمر بالتفوق على الهجمات الإلكترونية في الغد ، فمن المفيد تثبيت الدفاعات الأمنية الصحيحة اليوم.
