攻擊者越來越常將嵌入 JavaScript 和 Base64 編碼有效載荷的 SVG 檔案作為攻擊工具,藉此傳遞釣魚頁面與惡意軟體,同時規避傳統偵測機制。作為MetaDefender 核心技術之一的Deep CDR™ 技術,能透過移除所有動態內容(腳本、外部引用、事件處理程序等),並提供符合標準的乾淨圖像,在保留功能的同時消除風險,從而有效抵禦此類攻擊。 正常的、可信的 SVG(可縮放向量圖形)無需 JavaScript,因此預設會將其移除。
為何選擇 SVG
網路釣魚有效載荷的完美載具
SVG 是基於 XML 的向量影像格式,而非簡單的位圖。
SVG 檔案可包括
- 腳本
- 事件處理程式
- 外部參考資料
這些功能對互動式圖形很有用,但攻擊者利用它們來:
- 執行惡意程式碼
- 注入惡意 XML 資料
- 擷取外部內容
- 偽造登入頁面
攻擊者還將 SVGs 與HTML/JS 走私結合,在看似無害的圖像中嵌入 Base64 有效負載,並在執行時將其解碼。此技術現在已被正式追蹤為 MITRE ATT&CK「SVG 走私」(T1027.017)。
主要心得
In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.
我們在野外所見
含有 Base64 解碼釣魚網站的電子郵件附件
- 傳送:例行電子郵件會帶有 .svg 附件,許多電子郵件閘道會將其視為影像。
- Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.
使用事件處理程式重定向的Drive網站
- 傳送:受損或有錯字的網站會使用可點選區域的透明 SVG 疊層。
- 技術:事件屬性 (onload, onclick) 使用 Base64 解碼觸發重定向。
為何 Detection 在此掙扎
傳統的方法,例如簽章、模式規則和靜態程式碼檢查,在攻擊者攻擊時會失敗:
- 使用 Base64、XOR、垃圾文字襯墊或多態範本進行混淆。
- 延遲執行到執行時 (例如 onload),使靜態分析變得不可靠。
- 隱藏合法 SVG 功能背後的邏輯,例如事件處理程式和外部參考。
有趣的事實
根據 HTTP Archive 的資料顯示,前 1000 個網站中有 92% 的圖示和圖形使用 SVG。
"如果活躍,就有風險
適用於 SVG 的 Deep CDR™ 技術
Deep CDR™ 技術是 MetaDefender Core的核心技術之一, 它不會試圖推測哪些內容具有惡意。該技術預設所有未受信任檔案中的可執行檔或動態內容皆具風險,並會將其移除或進行淨化處理。
對 SVG 而言,這意味著
- Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
- 移除 CDATA:消除 CDATA 區段內可能嵌入有害邏輯的隱藏程式碼。
- 移除注入內容:攔截可能執行惡意程式的注入內容。
- 處理影像:反復消毒嵌入式影像並移除外部影像。
- 規範化與重建:建立符合標準的 SVG,只包含安全的視覺元素。
- 可選擇光柵化:針對不需要向量互動的工作流程,將 SVG 轉換為 PNG 或 PDF。
此方法符合安全指引:對 SVGs 進行 sanitize 或 sandbox(或光柵化),以防止程式碼執行。
Deep CDR™ 技術的主要應用案例
電子郵件閘道
在傳送之前淨化入站(inbound)附件和連結檔案(透過下載解決的 URL)。轉換為淨化 SVG 的 SVG 可防止憑證擷取程式渲染和下載程式啟動。
協作平台
將 Deep CDR™ 技術應用於透過 Teams、Slack 或 SharePoint 等工具分享的檔案。在此對 SVG 檔案進行淨化處理,可確保在日常協作過程中,不會有隱藏的登入畫面或惡意腳本欺騙使用者。
網頁上傳入口網站
對上傳至網站、CMS 或數位資產管理系統的所有檔案強制執行淨化。這可防止攻擊者在看似簡單的標誌或圖形中隱藏有害程式碼。
檔案傳輸與MFT Managed File Transfer
將 Deep CDR™ 技術整合至檔案傳輸工作流程中,確保每個檔案(尤其是來自合作夥伴或供應商的檔案)在進入您的網路之前均已安全無虞。此舉可降低因資產遭入侵而衍生的供應鏈風險。
商業影響
忽略 SVG sanitization 可能會導致:
- 憑證盜用:虛假登入頁面竊取用戶憑證。
- 惡意軟體感染:重定向鏈會傳送贖金軟體或竊取程式。
- 違反法規:涉及敏感資料的違規行為可能引發罰款和聲譽損害。
預防 SVG 攻擊的最佳作法
- 預設立場:不允許在未信任來源的 SVG 中使用 JavaScript。
- 清理或光柵化:對所有輸入的 SVG 檔案套用 Deep CDR™ 技術。
- 結合 CSP:作為深度防禦,而非主要控制。
- 稽核與記錄:追蹤每項清除動作,以符合法規要求並進行鑑識。
