新興的圖像型惡意軟體攻擊如何威脅企業防禦措施

Mar22、2024 by Stella Nguyen，資深產品行銷經理

分享此文章

對於安全團隊來說，像隱藏學 (steganography) 和多重圖形 (polyglot) 等以圖片為基礎的攻擊技術並不陌生。儘管已有可降低風險的解決方案，威脅份子仍在不斷設計新方法，將惡意軟體隱藏在可信賴的影像格式中。其中一種先進的影像式攻擊技術稱為跨網站指令碼 (XSS) polyglot 有效負載。這些有效負載會利用同時包含有效圖片和隱藏程式碼或指令碼的多重圖片。這些有效載荷專門針對網頁瀏覽器漏洞執行 XSS 攻擊，竊取資料或安裝惡意軟體，以逃避偵測，例如內容安全政策 (CSP) 限制。

為了領先這些具欺騙性的新威脅，組織需要零信任的安全解決方案，這些解決方案不僅能偵測已知風險，還能採取預防措施，確保挫敗任何未來攻擊 - 不論惡意軟體是已知的或新型的。OPSWAT Deep Content Disarm and Reconstruction (CDR)透過淨化影像檔案、移除任何可能的惡意程式碼，並重新建構影像檔案，使其能在任何數位環境中安全使用，以防止隱匿式影像攻擊。

影像型惡意軟體攻擊媒介的風險等級

隱藏技術

圖像隱藏技術首次出現在 2011 年 Duqu 惡意軟體的網路攻擊中。在這次攻擊中，資訊被加密並隱藏在基本的 JPEG 檔案中，目的是從目標系統中擷取資料。隱匿式技術是惡意行為者隱匿行為的一種方式。它透過修改像素資料，將惡意軟體的有效載荷嵌入影像檔案中，在解碼前完全不會被發現。

然而，隱藏技術只有在有解碼工具的情況下才會起作用，因此它是最不複雜的圖片型惡意軟體傳輸方法。

多語言

Polyglot 需要結合兩種不同的檔案類型，被視為比隱匿技術更複雜。例如，PHAR + JPEG（PHP 存檔和 JPEG 檔案）、GIFRAR（GIF 和 RAR 檔案）、JS+ JPEG（JavaScript 和 JPEG 檔案）等。Polyglot 影像的功能與一般影像檔案完全相同。

然而，它們也可能被利用來偷渡隱藏的惡意指令碼或資料有效載荷。這些有效載荷可繞過一般的防禦措施，並在網頁瀏覽器等目標環境中開啟後執行其內嵌的攻擊。polyglot 的危險在於它不需要腳本來擷取惡意程式碼；瀏覽器功能會自動執行它。

XSS 多種有效載荷

XSS polyglot 有效負載結合了 polyglot 技術與 XSS 攻擊，代表著更高的風險。這些有效負載使用 polyglot 影像來隱藏利用瀏覽器漏洞的指令碼，並繞過 CSP 等關鍵保護。這樣就可以將更危險的指令碼注入可信賴的網站和應用程式。

使用多重圖像可以避開某些封鎖外部內容寄存的網站過濾器。為了達到此目的，注入之前的 HTML 結構必須合法，並作為有效變數運作。此過程會依賴 XSS 將注入的內容詮釋為 JavaScript，從而繞過圖片上傳限制，以及隨後的跨源政策和白名單限制。JavaScript 程式碼隨後會寄存在特定的相關網站，使其能在預定的情境中執行。

利用Deep CDR預防進階威脅

Deep CDR 技術在 SE 實驗室報告中獲得 100% 的防護等級，在防止已知和未知檔案型威脅、防護惡意軟體和零時差攻擊方面居於市場領先地位。Deep CDR 提供卓越的功能，例如遞歸 sanitization 和精確的檔案重建，可提供安全可用的檔案。此外，它支援數百種檔案類型，包括 PDF、檔案和與檔案相容的格式。

早在 2018 年，OPSWAT 就曾在兩篇博文中解釋了隱匿技術和polyglots的風險，以及使用Deep CDR 來預防這些攻擊技術。在本指南中，我們將更專注於 XSS Polyglot Payloads。