人工智能驱动的网络攻击:如何检测、预防和抵御智能威胁

立即阅读
我们利用人工智能进行网站翻译,虽然我们力求准确,但不一定总是 100%精确。感谢您的理解。
首页/ 博客 / Base64 编码如何为恶意软件打开方便之门
文件安全

Base64 编码如何为恶意软件打开大门 

Stella Nguyen,高级产品营销经理
分享此贴

导言 

自 2021 年以来,我们看到针对拉丁美洲银行和金融部门的 HTML 走私网络攻击有所增加。威胁行为者继续在大规模恶意软件活动中使用这种规避技术来传播 Mekotio、/style、Trickbot 和 QakBot 等木马。检测混淆 HTML 走私的独特挑战使其成为一种持续且普遍的威胁媒介。

HTML 走私使用各种欺骗技术将恶意负载传送到受害者的端点。威胁行为者通常会在电子邮件附件中伪装恶意脚本或共享感染了恶意软件的文档。一种特别难以捉摸的方法是使用 Base64 编码将恶意代码隐藏在 HTML 内容中。

本文详细介绍了 Base64 编码作为一种混淆 HTML 夾帶有效负载的技术。我们研究了检测 Base64 编码威胁的固有困难,以及组织如何使用 OPSWAT 高级威胁防护解决方案。

Base64 编码的欺骗 

Base64 编码是一种将二进制数据转换为文本的方法,广泛用于各种合法目的,包括文件传输和电子邮件附件。但是,它也可以通过走私有效载荷混淆等技术被用于恶意目的,攻击者将恶意数据隐藏在看似无害的文件中。 

这种方法不是复杂的混淆,而是将 Base64 编码的有效负载直接嵌入到 HTML 标记中,例如 <img>

在图像标记中包含 base64 编码的图像有效负载的 HTML 代码片段
Base64-encoded Payload in <img> Tag

恶意软件通过将可执行文件编码为良性文本来逃避筛选器,以查找恶意二进制文件。目标浏览器可以解码脚本并在主机上组装有效负载。Base64 编码即使在使用普通图像时也能实现强大的攻击。 

  • 使用隐写术隐藏在EXIF数据中。
  • 以噪声的形式嵌入像素中。
  • 追加到图像文件的末尾。
Web 浏览器界面在本地服务器上托管的网页上显示绿色下载完成图标
包含恶意代码的渲染图像

Base64 攻击流  

Base64 攻击流图示,显示了从攻击者到嵌入式有效负载的过程,导致执行解码的恶意软件并泄露用户数据

检测编码威胁的挑战 

严重依赖基于签名的检测的传统防病毒解决方案经常会遗漏被 Base64 编码混淆的新恶意软件变体,而社会工程策略通常被成功地用于向毫无戒心的最终用户提供 Base64 编码的有效负载。

隐写术等更高级的欺骗手段 将恶意软件隐藏在良性图像 和媒体文件中。Base64 编码可以将恶意代码伪装成人类无法察觉的噪音。虽然 Base64 编码对数据传输具有合法用途,但对包含 Base64 编码字符串的图像要谨慎,尤其是当它们来自未知来源时。

阻碍检测 Base64 编码威胁的其他挑战包括:

  • 对拆分为多个文件并在本地重新组装的有效负载进行编码。
  • 变形绕过静态签名数据库的恶意软件。
  • 插入破坏签名的额外空格或字符。
  • 插入传统防病毒程序很少检查的异常文件类型。
  • 在更新签名之前快速分发新变体。

发现走私的有效载荷 OPSWAT MetaDefender Core

虽然单个防病毒引擎对新兴威胁的有效性有限,但组合多个引擎可以显著提高恶意软件检测率。 OPSWAT MetaDefender Core 利用 30 多个反恶意软件引擎来检测高达 99.2% 的已知恶意软件和零日恶意软件。

OPSWAT MetaDefender Cloud 界面显示文件分析结果,23 个引擎中有 16 个检测到威胁,并提供进一步沙箱分析的选项

原始Wannacry恶意软件扫描结果

OPSWAT MetaDefender Cloud 结果显示,23 个检测引擎中有 5 个在使用 Base64 编码的文件中识别出威胁,沙盒不支持

Base64 编码版本的扫描结果

改进静态签名数据库以检测新的恶意软件是一个良好的开端,但偷运的有效载荷仍有可能通过防病毒软件。企业需要采用具有多层安全性的强大深度防御战略来防止零日攻击。这包括使用动态保护技术,如 MultiscanningDeep CDR (内容解除和重构)Adaptive Sandbox.这些技术有助于及早发现和阻止恶意软件攻击(尤其是那些利用 HTML 偷带链接和附件的恶意软件),并保护敏感数据。

查看示例结果,网址为 metadefender.opswat.com

利用Deep CDR 和Adaptive Sandbox进行主动检测

Deep CDR
文件无毒化

Deep CDR 通过解构和重新生成不含任何潜在恶意代码的净化文件,防止 Base64 编码方案被执行。对于 HTML 文件中嵌入的图像等文件类型,Deep CDR 会执行解码、威胁清除和重建,以确保安全地恢复经过净化的图像。

HTML 源代码在 img 标签中显示 Base64 编码的图像数据
经过消毒的文件Deep CDR

Deep CDR 在清除 Base64 注入尝试时保持图像的保真度。用户可以查看安全的解码图像,并在后台无缝消除潜在威胁。这样就能在不中断工作流程的情况下提供强大的保护。

带有 URL 的 Web 浏览器地址栏,该地址栏指示经过清理的图像 OPSWAT MetaDefender.
安全使用图像
MetaDefender Sandbox

MetaDefender Sandbox 是一种基于仿真的恶意软件分析技术,可快速扫描数千个文件以查找恶意软件,并同时发现每一层混淆,以识别有价值的入侵指标 (IOC)。

在分析利用混淆技术(如 Base64 编码的有效负载或 HTML 走私)的文件时, MetaDefender Sandbox 彻底检查文件,提取 JavaScript,并模拟其行为,以密切监视任何可疑活动。这种自适应分析功能允许 MetaDefender Sandbox 识别恶意操作,例如尝试解码和执行 Base64 编码的恶意软件或运行嵌入在 HTML 内容中的隐藏脚本。

来自安全平台的分析概述,显示在具有各种文件哈希和提交详细信息的 URL 中发现的可疑 Base64 编码文件
用 Metadefender Sandbox 检测 Base64 编码的有效负载

超越外围防御

Base64 攻击构成的隐蔽威胁凸显了为什么公司必须将其防御范围扩大到针对未知外部来源的保护措施之外。尽管网络安全性很强,但预测恶意文件可能会破坏您的内部端点,这一点至关重要。作为额外的防御层,强大的端点保护是必不可少的。 OPSWAT MetaDefender 通过使用多个反恶意软件引擎扫描传入文件来促进主动文件安全。这有助于识别可能逃避外围防御的混淆零日威胁。 

Deep CDR 等补救技术则更进一步,在潜在恶意文件危及端点之前就解除其武装、使其失效并对其进行重建。实施这种全面的文件安全措施,可以限制突破外围威胁造成的破坏,并减少将外围安全作为唯一防线的依赖。 

OPSWAT 使组织能够部署多层端点安全,作为抵御当今环境中不断变化的威胁的关键防御措施。

咨询专家
标签

最新文章

订阅OPSWAT 简讯

获取最新的OPSWAT 公司更新、活动信息和 推动行业发展的新闻。
注册

关注我们的社交网站Media

请在您的 LinkedIn、Facebook、Twitter 和 YouTube 上关注OPSWAT ,了解更多信息!

通过OPSWAT 了解最新信息!

立即注册,即可收到公司的最新动态、 故事、活动信息等。
订阅