يعمل المهاجمون بشكل متزايد على تسليح ملفات SVG بملفات SVG مع JavaScript مضمنة وحمولات مشفرة Base64 لتقديم صفحات تصيد وبرمجيات خبيثة مع التهرب من الاكتشاف التقليدي. تعمل تقنية Deep CDR™، وهي إحدى التقنيات الأساسية التي تشغّل MetaDefender Core™، على تحييد هذه الفئة من الهجمات عن طريق إزالة جميع المحتويات النشطة (البرامج النصية والمراجع الخارجية ومعالجات الأحداث وما إلى ذلك) وتقديم صورة نظيفة ومتوافقة مع المعايير تحافظ على الوظائف مع التخلص من المخاطر. لا تحتاج صور SVGs العادية والجديرة بالثقة (الرسومات المتجهة القابلة للتطوير) إلى JavaScript، لذا تتم إزالتها افتراضيًا.
لماذا SVG
الوسيلة المثالية لحمولات التصيد الاحتيالي
SVG هو تنسيق صورة متجهة مستند إلى XML، وليس صورة نقطية بسيطة.
يمكن أن يتضمن ملف SVG:
- النصوص
- معالجات الأحداث
- مراجع خارجية
هذه الميزات مفيدة للرسومات التفاعلية، لكن المهاجمين يستغلونها في:
- تشغيل شيفرة برمجية خبيثة
- حقن بيانات XML خبيثة
- جلب محتوى خارجي
- تقديم صفحات تسجيل دخول مزيفة
يجمع المهاجمون أيضًا بين SVGs وتهريب HTML/JS من خلال تضمين حمولات Base64 داخل صور تبدو غير ضارة وفك تشفيرها في وقت التشغيل. يتم الآن تتبع هذه التقنية رسميًا باسم MITRE ATT&CK "تهريب SVG" (T1027.017).
الوجبات الجاهزة الرئيسية
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
ما نراه في البرية
مرفقات البريد الإلكتروني التي تحتوي على تصيد احتيالي بترميز Base64-فك تشفير Base64
- التسليم: يحمل البريد الإلكتروني الروتيني مرفق .svg الذي تتعامل معه العديد من بوابات البريد الإلكتروني كصورة.
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
Drive موقع الويب باستخدام معالجات الأحداث لإعادة التوجيه
- التسليم: يستخدم الموقع الذي تم اختراقه أو الذي يحتوي على أخطاء مطبعية تراكب SVG شفاف مع مناطق قابلة للنقر.
- التقنية: تقوم سمات الحدث (عند التحميل والنقر) بتشغيل عمليات إعادة التوجيه باستخدام فك تشفير Base64.
لماذا يكافح الكشف هنا
تفشل الأساليب التقليدية مثل التواقيع وقواعد الأنماط وفحص التعليمات البرمجية الثابتة عندما يفشل المهاجمون:
- تشويش باستخدام Base64، أو XOR، أو الحشو النصي غير المرغوب فيه، أو القوالب متعددة الأشكال.
- تأجيل التنفيذ حتى وقت التشغيل (على سبيل المثال، عند التحميل)، مما يجعل التحليل الثابت غير موثوق به.
- إخفاء المنطق وراء ميزات SVG المشروعة مثل معالجات الأحداث والمراجع الخارجية.
حقيقة مثيرة للاهتمام
تُستخدم SVG من قبل 92% من أفضل 1000 موقع إلكتروني للأيقونات والرسومات، وفقًا لبيانات أرشيف HTTP.
"إذا كانت نشطة، فهي محفوفة بالمخاطر"
Deep CDR لـ SVG
لا يحاول برنامج Deep CDR وهو إحدى التقنيات الأساسية التي تشغّل MetaDefender Core تخمين ما هو ضار. فهي تفترض أن أي محتوى قابل للتنفيذ أو نشط في الملفات غير الموثوق بها محفوف بالمخاطر وتقوم بإزالته أو تعقيمه.
بالنسبة إلى صور SVGs، يعني ذلك:
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- إزالة CDATA: يزيل التعليمات البرمجية المخفية داخل أقسام CDATA التي قد تتضمن منطقًا ضارًا.
- إزالة الحقن: يحظر المحتوى المحقون الذي يمكنه تنفيذ برامج خبيثة.
- معالجة الصور: تعقيم الصور المضمنة بشكل متكرر وإزالة الصور الخارجية.
- التطبيع وإعادة الإنشاء: إنشاء SVG متوافق مع المعايير مع عناصر مرئية آمنة فقط.
- تنقيط اختياري: يحول SVG إلى PNG أو PDF لمهام سير العمل التي لا تتطلب تفاعلية متجهة.
يتماشى هذا النهج مع إرشادات الأمان: قم بتعقيم أو وضع الحماية لصور SVG (أو تنقيطها) لمنع تنفيذ التعليمات البرمجية.
أهم حالات الاستخدام مع Deep CDR
بوابات البريد الإلكتروني
تعقيم المرفقات الواردة والملفات المرتبطة (عناوين URL التي تم حلها عبر التنزيل) قبل التسليم. تمنع ملفات SVGs التي تم تحويلها إلى ملفات SVG نظيفة من عرض ملفات SVG التي تم تحويلها إلى ملفات SVG نظيفة من عمليات استخراج بيانات الاعتماد وتنزيلها.
منصات التعاون
قم بتطبيق Deep CDR الملفات التي يتم مشاركتها عبر أدوات Teams أو Slack أو SharePoint. يضمن تنظيف ملفات SVG هنا عدم وجود شاشات تسجيل دخول مخفية أو نصوص برمجية ضارة يمكن أن تخدع المستخدمين أثناء التعاون اليومي.
بوابات تحميل الويب
فرض التعقيم على جميع الملفات التي يتم تحميلها إلى مواقع الويب أو نظام إدارة المحتوى أو أنظمة إدارة الأصول الرقمية. هذا يمنع المهاجمين من إخفاء التعليمات البرمجية الضارة داخل ما يبدو كشعار أو رسم بسيط.
نقل الملفات و MFT Managed File Transfer)
قم بدمج Deep CDR في تدفقات عمل نقل الملفات بحيث يكون كل ملف، خاصة تلك الواردة من الشركاء أو البائعين، آمنًا للاستخدام قبل دخوله إلى شبكتك. هذا يقلل من مخاطر سلسلة التوريد من الأصول المخترقة.
تأثير الأعمال
يمكن أن يؤدي تجاهل تعقيم SVG إلى:
- سرقة بيانات الاعتماد: تحصد صفحات تسجيل الدخول المزيفة بيانات اعتماد المستخدم.
- الإصابات بالبرمجيات الخبيثة: سلاسل إعادة التوجيه تقدم برمجيات الفدية الخبيثة أو السارقين.
- انتهاكات الامتثال: يمكن أن تؤدي الخروقات التي تنطوي على بيانات حساسة إلى فرض غرامات وتضر بالسمعة.
أفضل الممارسات لمنع الهجوم المستند إلى SVG
- الموقف الافتراضي: لا JavaScript في SVG من مصادر غير موثوق بها.
- التعقيم أو التنقيط: تطبيق Deep CDR على جميع ملفات SVG الواردة.
- مدمج مع CSP: يُستخدم كدفاع متعمق، وليس كعنصر تحكم أساسي.
- التدقيق والتسجيل: تتبع كل إجراء تعقيم من أجل الامتثال والطب الشرعي.
الأفكار إغلاق
التصيد الاحتيالي القائم على SVG ليس أمراً نظرياً، بل هو أمر يحدث الآن. أدوات القائمة على الكشف مواكبة تقنيات التعتيم المتطورة. Deep CDR نهجاً حتمياً قائماً على عدم الثقة، مما يزيل المخاطر قبل أن تصل إلى المستخدمين.
