Saldırganlar, gizli kod enjeksiyonu için ölçeklenebilir vektör grafiklerinden (SVG) giderek daha fazla yararlandıkça, güvenlik araştırmacıları SVG varlıklarına gömülü gizlenmiş yüklerin tespit edilmesinde montaj zorluklarıyla karşı karşıyadır.
Hackinglz tarafından SVG Güvenlik Analizi Araç Seti kapsamlı bir çözüm sunar: Gizli komut dosyalarını ortaya çıkarmak için tasarlanmış dört python tabanlı araç paketi, ahlaksız URL’leri çözmek ve analistleri güvenli olmayan yürütme ortamlarına maruz bırakmadan koruma mekanizmalarını doğrulamak.
Statik ve dinamik bozulma
Toolkit’in ilk iki bileşeni Extract.py ve extract_dynamic.py, hem statik hem de dinamik analiz yoluyla kötü amaçlı komut dosyalarını ortaya çıkarmak için birlikte çalışır:
Extract.py, herhangi bir kod yürütmeden desen tabanlı analiz gerçekleştiren statik bir SVG URL çıkarıcıdır.
XOR ile şifreli yükleri String.Fromcharcode Desenleri, Verilerden Çıkarılan Base64 kodlu URL’ler aracılığıyla otomatik olarak algılar ve kod çözer: ParseInt ve Xor döngüleri kullanılarak Urisand karakter aritmetik şemaları. Kullanım örnekleri esnekliğini göstermektedir:
Extract_dynamic.py, son URL yapılarını yakalamak için bir kum havuzunda gömülü javascript’i güvenli bir şekilde yürüten kutu-js’den yararlanan dinamik bir JavaScript yürütmedir. Temel özellikler şunları içerir:
- Location.assig (), window.open () ve ajax çağrıları izlemek için gelişmiş kanca sistemi
- Kısmi parçalardan tam URL’leri ayırt etmek için son URL önceliklendirmesi
- Windows’a özgü komut dosyası izleme için ActiveX/WScript desteği
Koruma tespiti
Analiz iş akışını tamamlamak için araç seti cf_probe.py ve encoder.py içerir. CF_Probe.py, Cloudflare zorlukları için HTTP ve Meta-Refresh yönlendirmelerini tarayan bir CloudFlare Koruma Algılama Programıdır.
Bu, Veri-Sitekey özellikleri, RecaptCHA veya özel captcha sistemleri için bağlantılı JavaScript’i tarar ve CF-ray ve DDOS koruma mesajları gibi CF başlıklarını rapor eder.
Encoder.py bir SVG test senaryosu üreticisidir; Güvenlik ekipleri, algılama boru hatlarını doğrulamak için gerçekçi gizlenmiş SVG örnekleri üretebilir.
- XOR + ES6 Proxy dahil olmak üzere altı gizleme modelini destekler,
- Onaltılık İşlev Yapıcı ve Veri URI komut dosyaları.
Hackinglz, maksimum kapsam ve güvenlik için aşağıdaki analiz dizisini önerir:
- Test Olgu Oluşturun: Encoder.py –Random -All -O Test_cases/
- Statik Analiz: Python3 Extract.py -i Test_cases/*. SVG -V
- Dinamik analiz: python3 extract_dynamic.py -i test_cases/ -o dynamic_results/
- Koruma Doğrulaması: Python3 CF_PROBE.PY -I malien_urls.txt
Statik dize kod çözme, kum havuzu kodlu komut dosyası yürütme, koruma algılama ve kontrollü test veri üretimi birleştirerek, SVG Güvenlik Analizi Araç Seti, savunuculara kaçınma SVG tabanlı kimlik avı ve kötü amaçlı yazılım kampanyalarının önünde kalmalarını sağlar.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
