Tehdit aktörleri siber saldırılarda SVG dosyalarını kullanır çünkü SVG'ler (Ölçeklenebilir Vektör Grafiği dosyaları) gömülü komut dosyaları içerebilir ve bu da onları kötü amaçlı kod yürütmek için bir vektör haline getirir.
Sadece SVG dosyaları bile meşru web içeriğine uyum sağlama yetenekleri nedeniyle belirli güvenlik önlemlerini de atlayabilir.
Son zamanlarda Cofense'deki siber güvenlik araştırmacıları, bilgisayar korsanlarının siber saldırılarda silah haline getirilmiş SVG dosyalarını giderek daha fazla kullandığını keşfetti.
Silahlandırılmış SVG Dosyaları
SVG dosyaları, Mayıs 2022'de AutoSmuggle ile yükselişe geçen ve HTML/SVG'deki kötü amaçlı yükleri kolaylaştıran, gelişen kötü amaçlı yazılım dağıtımına yönelik gelişmiş vektörlerdir.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Bunun yanı sıra, tehdit aktörleri Aralık 2023'ten bu yana iki büyük kampanyada bu özelliği istismar etti.
SVG dosyaları, kötü amaçlı içerik yerleştirerek fidye yazılımı dağıtmak için ilk kez istismar edildikleri 2015 yılından bu yana, kötü amaçlı yazılım dağıtımı için giderek daha fazla kullanılıyor. 2017 yılında SVG dosyaları Ursnif kötü amaçlı yazılımını indirdi.
2022'de, önceki harici içerik indirmelerinden farklı yeni bir taktik olan HTML kaçakçılığı yoluyla QakBot kötü amaçlı yazılımını dağıtan gömülü .zip arşivlerini içeren SVG dosyalarıyla büyük bir olay meydana geldi.
Son zamanlarda SVG dosyaları, Roundcube sunucularına erişmek ve ayrıca Ajan Tesla Keylogger ve XWorm RAT'ı ayrı kampanyalarda sunmak için kaçakçılık yetenekleriyle bir istismarı zincirlemek için kullanıldı.
Bu değişen taktikler arasında SVG dosyalarının çok yönlülüğü, bunların kötü amaçlı kullanım potansiyelini göstermektedir.
Mayıs 2022'de GitHub'da kullanıma sunulan AutoSmuggle, yükleri iletmek için ağ savunmalarını atlayarak yürütülebilir dosyaları veya arşivleri SVG veya HTML dosyalarının içine gizlice yerleştiriyor.
Bu “kaçakçılık” tekniği, doğrudan eklerin aksine Güvenli E-posta Ağ Geçitlerinden (SEG'ler) kaçar.
Tehdit aktörleri, kötü amaçlı dosyaları orijinal HTML içeriği olarak gizlemek için bu taktiği kullanır ve kurbanların dosyayı açması üzerine başarılı bir şekilde teslim edilmesini sağlar.
HTML/SVG dosyası kaçakçılığı için çeşitli yöntemler mevcut olup, son kampanyalarda SVG dosyaları içindeki .zip arşivleri yaygınlaşmaktadır.
Kötü amaçlı yazılım dağıtımı bağlamında SVG dosyalarının kullanılmasının iki ana yolu vardır.
Bir SVG dosyası bir tarayıcıda açıldığında, kullanılan yönteme bakılmaksızın genellikle bir indirme istemiyle sonuçlanır.
İlk başta, gömülü URL'ler kötü amaçlı yazılım dağıtmak için kullanıldı ve daha sonraki sürümler, indirilen verilerle kullanıcıların ilgisini çekme aracı olarak çarpıcı resimler içeriyordu.
Hem 2015 hem de 2017 kampanyalarında, kötü amaçlı içeriğin kendi içine gömülmek yerine SVG dosyaları tarafından dışarıdan kaynaklandığı görüldü.
Kaçakçılık teknikleri kullanan SVG dosyaları daha sonra tanıtıldı ve açıldığında gömülü kötü amaçlı dosyalar ortaya çıktı.
Görüntüleri göstermezler; bunun yerine kurbanın teslim edilen dosyayla ilgilenme merakına güvenirler.
Tehdit aktörleri SVG dosyalarını kullanır çünkü bunlara HTML veya arşivlere göre daha az şüpheyle yaklaşılır, bu da içlerindeki dosyaları “kaçırmayı” kolaylaştırır.
Agent Tesla Keylogger ve XWorm RAT'ı sunmak için SVG dosyalarını kullanan kampanyalar, kötü amaçlı yazılım yüklerini indirip çalıştırmak için komut dosyaları içeren gömülü arşivleri bırakan ekli SVG dosyalarını içeren tutarlı enfeksiyon zincirlerine sahipti.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.