AI 驅動的網路攻擊:如何偵測、預防及抵禦智慧型威脅

立即閱讀
我們利用人工智慧進行網站翻譯,雖然我們力求準確性,但它們可能並不總是 100% 精確。感謝您的理解。
首頁/ 文章 / Base64 編碼如何開啟惡意軟體之門
檔案安全

Base64 編碼如何為惡意軟體打開大門 

by Stella Nguyen,資深產品行銷經理
分享此文章

介紹 

自 2021 年以來,我們發現針對拉丁美洲各地銀行和金融業的 HTML 走私網路攻擊不斷增加。威脅者持續在大規模惡意軟體攻擊活動中使用這種迴避技術來散播 Mekotio、/style、Trickbot 和 QakBot 等特洛伊木馬。偵測混淆 HTML 走私所面臨的獨特挑戰,使其成為持續且普遍的威脅媒介。

HTML 走私使用各種欺騙技術,將惡意有效載荷傳送至受害者的端點。威脅者通常會在電子郵件附件中偽裝惡意指令碼,或分享感染惡意軟體的檔案。其中一種特別難以捉摸的方法是使用 Base64 編碼將惡意程式碼隱藏在 HTML 內容中。

本文詳細介紹了 Base64 編碼作為一種混淆 HTML 夾帶有效負載的技術。我們研究了檢測 Base64 編碼威脅的固有困難,以及組織如何使用 OPSWAT 進階威脅防護解決方案協助解決此問題。

Base64 編碼的欺騙性 

Base64 編碼是一種將二進位資料轉換為文字的方法,廣泛用於各種合法用途,包括檔案傳輸和電子郵件附件。然而,它也可以透過走私有效載荷混淆等技術被利用於惡意目的,即攻擊者將惡意資料隱藏在看似無害的檔案中。 

此方法不需要複雜的混淆,而是將 Base64 編碼的有效負載直接嵌入 HTML 標籤,例如 <img>

HTML 程式碼片段在圖片標籤中包含 base64 編碼的圖片有效載荷
Base64-encoded Payload in <img> Tag

惡意軟體透過將可執行檔案編碼為良性文字,以躲避偵測惡意二進位檔的過濾器。目標瀏覽器可以解碼腳本,並在主機上組裝有效載荷。Base64 編碼即使在使用一般影像時,也能進行強大的攻擊。 

  • 使用隱藏技術隱藏於 EXIF 資料中。
  • 以雜訊的形式嵌入像素中。
  • 附加到影像檔案的末端。
網頁瀏覽器介面在本機伺服器託管的網頁上顯示綠色的下載完成圖示
包含惡意程式碼的渲染影像

Base64 攻擊流程  

Base64 攻擊流程示意圖,顯示從攻擊者到內嵌有效載荷的流程,從而執行解碼的惡意軟體並損害使用者資料

偵測編碼威脅的挑戰 

傳統的防毒解決方案嚴重依賴於以特徵碼為基礎的偵測,因此經常會遺漏經 Base64 編碼混淆的新惡意軟體變種,而社交工程策略也經常被成功地用來將 Base64 編碼的有效載荷傳送給毫無戒心的終端使用者。

更進階的欺騙手法如隱藏術,可將惡意軟體隱藏在良性的影像和媒體檔案。Base64 編碼可以將惡意程式碼偽裝成人類無法察覺的雜訊。雖然 Base64 編碼在資料傳輸上有合法的用途,但對於包含 Base64 編碼字串的影像,尤其是來歷不明的影像,一定要小心謹慎。

其他妨礙偵測 Base64 編碼威脅的挑戰包括

  • 將有效負載分割成多個檔案並在本機重新組合的編碼。
  • 可繞過靜態簽章資料庫的變形惡意軟體。
  • 插入會損壞簽名的額外空格或字元。
  • 插入傳統防毒程式很少檢查的不尋常檔案類型。
  • 在更新簽章前快速散佈新變種。

利用OPSWAT MetaDefender Core發現走私的有效載荷

雖然單一防毒引擎對新興威脅的成效有限,但結合多個引擎可大幅提高惡意軟體偵測率。 OPSWAT MetaDefender Core利用 30 多個反惡意軟體引擎,偵測出高達 99.2% 的已知和零時差惡意軟體。

OPSWAT MetaDefender Cloud 介面顯示檔案分析結果,23 個引擎中有 16 個偵測到威脅,並提供進一步沙箱分析的選項

原始 Wannacry 惡意軟體掃描結果

OPSWAT MetaDefender Cloud 結果顯示 23 個偵測引擎中有 5 個在以 Base64 編碼的檔案中識別出威脅,不支援沙箱處理

Base64 編碼版本的掃描結果

改善靜態特徵資料庫以偵測新的惡意軟體是個好的開始,但走私的有效載荷仍有可能逃過防毒軟體的偵測。企業需要具有多層安全性的強大深度防禦策略,以防止零時差攻擊。這包括使用動態防護技術,例如 MultiscanningDeep CDR (內容解除與重組),以及 Adaptive Sandbox.這些技術可協助及早偵測和攔截惡意軟體攻擊 (尤其是那些使用 HTML 偷渡連結和附件的攻擊),並保護敏感資料。

請參閱metadefender.opswat.com 上的範例結果。

利用Deep CDR 和Adaptive Sandbox進行主動偵測

Deep CDR
檔案無毒化

Deep CDR 通過解構和重新生成不含任何潛在惡意程式碼的消毒檔案,防止 Base64 編碼方案執行。對於 HTML 檔案內嵌的影像等檔案類型,Deep CDR 會執行解碼、威脅移除和重構,以確保安全還原已消毒的影像。

在 img 標籤中顯示 Base64 編碼影像資料的 HTML 原始碼
具有Deep CDR的消毒檔案

Deep CDR 可在清除 Base64 注入嘗試時保持影像的真實性。使用者可以檢視安全的解碼影像,並在背景中無縫中和潛在威脅。這可在不中斷工作流程的情況下提供強大的保護。

網頁瀏覽器位址列上的 URL 顯示由OPSWAT MetaDefender 掃描過的影像。
安全使用圖像
MetaDefender Sandbox

MetaDefender Sandbox 是一種基於模擬的惡意軟體分析技術,可快速掃描數千個檔案中的惡意軟體,並同時揭開每層混淆層,以辨識有價值的損害指標 (IOC)。

在分析利用混淆技術(例如 Base64 編碼有效載荷或 HTML 走私)的檔案時,MetaDefender Sandbox 會徹底檢查檔案、擷取 JavaScript,並模擬其行為,以密切監控任何可疑活動。這種適應性分析功能可讓MetaDefender Sandbox 識別惡意行為,例如嘗試解碼和執行 Base64 編碼的惡意軟體或執行嵌入 HTML 內容的隱藏腳本。

來自安全平台的分析概觀,顯示在 URL 中發現的可疑 Base64 編碼檔案,以及各種檔案哈希值和提交詳細資訊
使用Metadefender Sandbox 偵測 Base64 編碼的 Payload

超越周邊防禦

Base64 攻擊所構成的隱密威脅,突顯出為何公司必須擴大其防禦範圍,以防範未知的外部來源。儘管有強大的網路安全性,預測惡意檔案可能入侵內部端點是非常重要的。作為額外的防禦層,強大的端點防護是不可或缺的。OPSWAT MetaDefender 透過多種反惡意軟體引擎掃描傳入的檔案,促進主動式檔案安全。這有助於識別可能躲過周邊防禦的混淆零時差威脅。 

Deep CDR 等修復技術在潛在惡意檔案危及端點之前,先行解除、中和及重建這些檔案,從而更進一步。實施如此全面的檔案安全措施,可限制威脅突破您的周邊所造成的損害,並減少對周邊安全作為唯一防線的依賴。 

OPSWAT 可讓組織部署多層端點安全,作為防禦當今環境中不斷演化的威脅的重要防線。

與專家交談
標籤:

最新文章

訂閱 OPSWAT 電子報

獲取最新的OPSWAT 公司更新、活動資訊和 推動產業發展的新聞。
註冊

在社群媒體上追蹤我們

在您的 LinkedIn、Facebook、Twitter 和 YouTube 上追蹤 OPSWAT以瞭解更多資訊!

隨時瞭解OPSWAT 的最新資訊!

立即註冊,即可收到公司的最新消息、 故事、活動資訊等。
訂閱