Proteggersi dagli attacchi malware basati su immagini - poliglotti e steganografia

Protezione dagli attacchi malware basati su immagini

Indice dei Contenuti

Le tecniche di attacco che si basano sull’uso di immagini, come la steganografia (tecnica per nascondere messaggi, dati o informazioni all’interno di altri tipi di file, come immagini, audio o video, in modo che il contenuto nascosto non sia visibile) e i poliglotti (combinano due diversi tipi di file in uno e sono progettati per apparire come un tipo di file specifico, ma in realtà contengono dati di un altro tipo di file), non sono nuove per gli esperti di sicurezza informatica. Anche se esistono metodi per ridurre i rischi associati a queste tecniche, i criminali informatici continuano a sviluppare nuovi modi per nascondere software dannosi all’interno di file immagine apparentemente innocui.

Un metodo di attacco avanzato basato sulle immagini è il payload cross-site scripting (XSS) poliglotti. Questi payload sfruttano immagini poliglotte, che contengono sia un’immagine valida che codice o script nascosti. I payload mirano alle vulnerabilità dei browser web per eseguire attacchi XSS che possono rubare dati o installare malware, evitando la rilevazione come le restrizioni del Content Security Policy (CSP).

Per evitare queste minacce, è necessario avere soluzioni di sicurezza che vadano oltre il semplice rilevamento delle minacce conosciute e adottino misure preventive per garantire che ogni attacco venga respinto, sia che il malware sia noto o sconosciuto.

OPSWAT Deep Content Disarm and Reconstruction (CDR) è una di queste soluzioni. Impedisce gli attacchi basati sulle immagini sanificando i file immagine, rimuovendo eventuali codici potenzialmente dannosi e ricostruendoli in modo che possano essere utilizzati in sicurezza.

Il livello di rischio associato ai vettori di attacco malware basati sulle immagini varia, ma le tecniche come la steganografia e i poliglotti sono considerate particolarmente rischiose.

File poliglotti

I poliglotti sono considerati più sofisticati della steganografia perché coinvolgono la combinazione di due diversi tipi di file. Ad esempio, potrebbero essere un mix di archivi PHP e file JPEG, file GIF e RAR, oppure JavaScript e file JPEG. Queste immagini poliglotte sembrano normali file di immagine, ma possono anche contenere script o payload di dati nascosti e dannosi.

Questi payload poliglotti sono particolarmente rischiosi perché combinano le tecniche poliglotte con gli attacchi XSS. Sfruttano immagini poliglotte per nascondere script che sfruttano le vulnerabilità dei browser, bypassando le protezioni come le CSP. Ciò significa che script molto pericolosi possono essere iniettati in siti web e applicazioni affidabili.

L’uso di immagini poliglotte può aggirare alcuni filtri sui siti web che bloccano contenuti provenienti da fonti esterne. Per fare ciò, è necessario che la struttura HTML che precede l’iniezione sia legittima, agendo come una variabile valida. Questo processo si basa sull’XSS per interpretare il contenuto iniettato come JavaScript, consentendo agli script di eludere le restrizioni sul caricamento di immagini, così come le policy cross-origin e le restrizioni whitelist. Il codice JavaScript può quindi essere eseguito sul sito specifico in questione, consentendogli di funzionare nel contesto previsto.

Prevenzione delle minacce avanzate con OPSWAT Deep CDR

La tecnologia OPSWAT Deep Content Disarm and Reconstruction, presente nella piattaforma MetaDefender Core, ha ottenuto una valutazione di protezione del 100% nel rapporto SE Lab. Offrendo caratteristiche superiori come la sanificazione ricorsiva e la ricostruzione precisa dei file, Deep CDR restituisce file sicuri e utilizzabili. Inoltre, supporta centinaia di tipi di file, tra cui PDF, archivi e formati compatibili con gli archivi.

Per prevenire i payload XSS poliglotti passo dopo passo con Deep CDR, vengono eseguite varie azioni di sicurezza da parte di OPSWAT. Queste includono la convalida delle specifiche delle immagini, l’eliminazione del malware e la ricostruzione sicura.

Il Deep CDR analizza la struttura dell’immagine per verificarla. Ottimizza i dati, rimuove quelli non utilizzati ed elabora i metadati. Successivamente, neutralizza potenziali malware ed estrae i payload per rimuovere in sicurezza script e dati nascosti. Infine, sanifica le immagini disarmando e rimuovendo i vettori di minaccia, garantendo che l’immagine sia sicura da utilizzare. Gli utenti vedranno solo l’immagine, senza alcun codice estraneo o potenzialmente dannoso.

Condividi: