Base64 编码如何为恶意软件打开大门 

自 2021 年以来，我们看到针对拉丁美洲银行和金融部门的 HTML 走私网络攻击有所增加。威胁行为者继续在大规模恶意软件活动中使用这种规避技术来传播 Mekotio、/style、Trickbot 和 QakBot 等木马。检测混淆 HTML 走私的独特挑战使其成为一种持续且普遍的威胁媒介。

HTML 走私使用各种欺骗技术将恶意负载传送到受害者的端点。威胁行为者通常会在电子邮件附件中伪装恶意脚本或共享感染了恶意软件的文档。一种特别难以捉摸的方法是使用 Base64 编码将恶意代码隐藏在 HTML 内容中。

本文详细介绍了 Base64 编码作为一种混淆 HTML 夾帶有效负载的技术。我们研究了检测 Base64 编码威胁的固有困难，以及组织如何使用 OPSWAT 高级威胁防护解决方案。

严重依赖基于签名的检测的传统防病毒解决方案经常会遗漏被 Base64 编码混淆的新恶意软件变体，而社会工程策略通常被成功地用于向毫无戒心的最终用户提供 Base64 编码的有效负载。

隐写术等更高级的欺骗手段 将恶意软件隐藏在良性图像 和媒体文件中。Base64 编码可以将恶意代码伪装成人类无法察觉的噪音。虽然 Base64 编码对数据传输具有合法用途，但对包含 Base64 编码字符串的图像要谨慎，尤其是当它们来自未知来源时。

阻碍检测 Base64 编码威胁的其他挑战包括：

• 对拆分为多个文件并在本地重新组装的有效负载进行编码。
• 变形绕过静态签名数据库的恶意软件。
• 插入破坏签名的额外空格或字符。
• 插入传统防病毒程序很少检查的异常文件类型。
• 在更新签名之前快速分发新变体。