新兴的图像型恶意软体攻击如何威胁企业防御措施

22，2024 由 Stella Nguyen，高级产品营销经理

分享此贴

对于安全团队来说，基于图像的攻击技术（如隐写术和多图技术）并不陌生。尽管现有的解决方案可以降低风险，但威胁行为者仍在不断设计新的方法，将恶意软件隐藏在可信的图像格式中。其中一种先进的基于图像的攻击技术被称为跨站脚本 (XSS) 多重有效载荷。这些有效载荷利用的是同时包含有效图像和隐藏代码或脚本的多重图像。这些有效载荷专门针对网络浏览器漏洞实施 XSS 攻击，以窃取数据或安装恶意软件，躲避内容安全策略 (CSP) 限制等检测。

要想在这些欺骗性的新威胁面前保持领先，企业需要零信任安全解决方案，这些解决方案不仅能检测已知风险，还能采取预防措施，确保挫败未来的任何攻击--无论恶意软件是已知的还是新型的。OPSWAT Deep Content Disarm and Reconstruction (CDR）通过对图像文件进行消毒、移除任何潜在的恶意代码并重建图像文件，从而防止基于图像的隐蔽攻击，使其能够在任何数字环境中安全使用。

基于图像的恶意软件攻击载体的风险等级

隐写术

图像隐写术最早出现在 2011 年的一次网络攻击中，当时使用的是 Duqu 恶意软件。在这次攻击中，信息被加密并隐藏在一个基本的 JPEG 文件中，目的是从目标系统中提取数据。隐写术是恶意行为者潜行的一种方式。它通过修改像素数据在图像文件中嵌入恶意软件有效载荷，在解码之前完全不会被发现。

不过，只有在有解码工具的情况下，隐写术才会起作用，因此它是最不复杂的基于图像的恶意软件传播方法。

多语言

与隐写术相比，Polyglot 更为复杂，它需要两种不同文件类型的组合。例如，PHAR + JPEG（PHP 存档和 JPEG 文件）、GIFRAR（GIF 和 RAR 文件）、JS+ JPEG（JavaScript 和 JPEG 文件）等。多语言图像与普通图像文件一样运行良好。

然而，它们也可能被利用来偷运隐藏的恶意脚本或数据有效载荷。这些有效载荷会绕过常见的防御措施，在网络浏览器等目标环境中打开时执行其嵌入的攻击。polyglot 的危险在于它不需要脚本来提取恶意代码，浏览器功能会自动运行它。

XSS 多负载

XSS 多点有效载荷将多点技术与 XSS 攻击结合在一起，从而提高了风险。这些有效载荷使用 polyglot 图像来隐藏利用浏览器漏洞和绕过 CSP 等关键保护的脚本。这样就能将更危险的脚本注入可信网站和应用程序。

使用多语言图像可以规避某些阻止外部内容托管的网站过滤器。要做到这一点，注入内容之前的 HTML 结构必须是合法的，可以作为有效变量运行。这一过程依靠 XSS 将注入的内容解释为 JavaScript，从而绕过对图片上传的限制，以及随后的跨源策略和白名单限制。然后，JavaScript 代码会被托管到相关的特定网站上，使其能够在预定的上下文中执行。