Base64 編碼如何為惡意軟體打開大門 

自 2021 年以來，我們發現針對拉丁美洲各地銀行和金融業的 HTML 走私網路攻擊不斷增加。威脅者持續在大規模惡意軟體攻擊活動中使用這種迴避技術來散播 Mekotio、/style、Trickbot 和 QakBot 等特洛伊木馬。偵測混淆 HTML 走私所面臨的獨特挑戰，使其成為持續且普遍的威脅媒介。

HTML 走私使用各種欺騙技術，將惡意有效載荷傳送至受害者的端點。威脅者通常會在電子郵件附件中偽裝惡意指令碼，或分享感染惡意軟體的檔案。其中一種特別難以捉摸的方法是使用 Base64 編碼將惡意程式碼隱藏在 HTML 內容中。

本文詳細介紹了 Base64 編碼作為一種混淆 HTML 夾帶有效負載的技術。我們研究了檢測 Base64 編碼威脅的固有困難，以及組織如何使用 OPSWAT 進階威脅防護解決方案協助解決此問題。

傳統的防毒解決方案嚴重依賴於以特徵碼為基礎的偵測，因此經常會遺漏經 Base64 編碼混淆的新惡意軟體變種，而社交工程策略也經常被成功地用來將 Base64 編碼的有效載荷傳送給毫無戒心的終端使用者。

更進階的欺騙手法如隱藏術，可將惡意軟體隱藏在良性的影像和媒體檔案中。Base64 編碼可以將惡意程式碼偽裝成人類無法察覺的雜訊。雖然 Base64 編碼在資料傳輸上有合法的用途，但對於包含 Base64 編碼字串的影像，尤其是來歷不明的影像，一定要小心謹慎。

其他妨礙偵測 Base64 編碼威脅的挑戰包括

• 將有效負載分割成多個檔案並在本機重新組合的編碼。
• 可繞過靜態簽章資料庫的變形惡意軟體。
• 插入會損壞簽名的額外空格或字元。
• 插入傳統防毒程式很少檢查的不尋常檔案類型。
• 在更新簽章前快速散佈新變種。