כיצד לעצור התקפות פישינג מבוססות SVG בעזרת Deep CDR

1 באוקטובר, 2025 עַל יְדֵי וין לאם, מנהל תוכנית טכנית בכיר

שתף את הפוסט הזה

תוקפים הופכים קבצי SVG לנשקים יותר ויותר עם מטענים משובצים ב-JavaScript וב-Base64 כדי לספק דפי פישינג ותוכנות זדוניות תוך התחמקות מזיהוי מסורתי. Deep CDR™ , אחת מטכנולוגיות הליבה המניעות את MetaDefender Core™ , מנטרלת סוג זה של התקפה על ידי הסרת כל התוכן הפעיל (סקריפטים, הפניות חיצוניות, מטפלי אירועים וכו') ומספקת תמונה נקייה ותואמת תקנים ששומרת על פונקציונליות תוך ביטול סיכונים. קבצי SVG (גרפיקה וקטורית ניתנת להרחבה) רגילים ואמינים אינם זקוקים ל-JavaScript, ולכן הם מוסרים כברירת מחדל.

למה SVG

הכלי המושלם למטענים של פישינג

SVG הוא פורמט תמונה וקטורית מבוסס XML, לא מפת סיביות פשוטה.

צילום מסך של קוד SVG הממחיש כיצד התקפות פישינג מסוג svg יכולות להטמיע מטענים זדוניים בתמונות וקטוריות — קטע קוד לדוגמה של SVG

קובץ SVG יכול לכלול:

סקריפטים
מטפלי אירועים
הפניות חיצוניות

תכונות אלו שימושיות עבור גרפיקה אינטראקטיבית, אך תוקפים מנצלים אותן כדי:

הפעלת קוד זדוני
הזרקת נתוני XML זדוניים
אחזור תוכן חיצוני
הצג דפי כניסה מזויפים

תוקפים משלבים גם קבצי SVG עם הברחת HTML/JS על ידי הטמעת טעונות Base64 בתוך תמונות לכאורה בלתי מזיקות ופענוחן בזמן ריצה. טכניקה זו מסומנת כעת רשמית כ-MITRE ATT&CK "הברחת SVG" (T1027.017).

לקח חשוב

In normal enterprise content workflows (logos, icons, diagrams), SVGs don’t require JavaScript or active content. If you find <script>, event handlers, or remote references in an inbound SVG, treat them as risky.

מה שאנחנו רואים בטבע

קובץ מצורף לדוא"ל עם פישינג מפוענח על ידי Base64

מסירה: אימייל שגרתי מכיל קובץ מצורף בפורמט svg, שרבים משערי האימייל מתייחסים אליו כתמונה.
Technique: Inside the SVG, an obfuscated <script> reconstructs a phishing page from a Base64 blob and loads it in the browser.

Drive -על ידי אתר אינטרנט באמצעות מטפלי אירועים להפניה מחדש

הצגה: אתר שנפגע או עבר שגיאות הקלדה משתמש בשכבת SVG שקופה עם אזורים הניתנים ללחיצה.
טכניקה: מאפייני אירועים (onload, onclick) מפעילים הפניות באמצעות פענוח Base64.

למה הזיהוי מתקשה כאן

גישות מסורתיות כגון חתימות, כללי תבניות ובדיקת קוד סטטי נכשלות כאשר תוקפים:

ערפול באמצעות Base64, XOR, ריפוד טקסט זבל או תבניות פולימורפיות.
דחיית הביצוע עד לזמן ריצה (למשל, טעינה), מה שהופך את הניתוח הסטטי לבלתי אמין.
הסתר את ההיגיון מאחורי תכונות SVG לגיטימיות כמו מטפלי אירועים והפניות חיצוניות.

עובדה מעניינת

SVG משמש 92% מ-1000 האתרים המובילים לאייקונים וגרפיקה, על פי נתוני ארכיון HTTP.

"אם זה פעיל, זה מסוכן"

Deep CDR עבור SVG

Deep CDR , אחת הטכנולוגיות המרכזיות המניעות את MetaDefender Core , אינה מנסה לנחש מה זדוני. היא מניחה שכל תוכן בר ביצוע או פעיל בקבצים לא מהימנים הוא מסוכן ומסירה או מנקה אותו.

עבור קבצי SVG, המשמעות היא:

Remove JavaScript: Strips out any <script> elements and inline scripts to prevent code execution.
הסרת CDATA: מסירה קוד מוסתר בתוך מקטעי CDATA שעלול להטמיע לוגיקה מזיקה.
הסר הזרקה: חוסם תוכן שהוזרק שעלול להפעיל תוכנות זדוניות.
תהליך תמונת: מנקה תמונות מוטמעות ומסיר תמונות חיצוניות באופן רקורסיבי.
נרמול ובנה מחדש: יוצר SVG תואם לתקנים עם אלמנטים חזותיים בטוחים בלבד.
אופציונלי רסטריזציה: המרת SVG ל-PNG או PDF עבור זרימות עבודה שאינן דורשות אינטראקטיביות וקטורית.

גישה זו תואמת את הנחיות האבטחה: ניקוי או הוספת ארגז חול לקובצי SVG (או הוספת רסטר) כדי למנוע ביצוע קוד.

מקרי שימוש מובילים עם Deep CDR

שערי דוא"ל

יש לנקות קבצים מצורפים נכנסים וקבצים מקושרים (כתובות URL שנפתרו באמצעות הורדה) לפני המסירה. קבצי SVG שהומרו לקבצי SVG נקיים מונעים עיבוד של כלי איסוף אישורים ומהפעלה של כלי הורדה.

פלטפורמות שיתוף פעולה

לִפְנוֹת Deep CDR לקבצים ששותפו באמצעות כלים כמו Teams, Slack או SharePoint. ניקוי קבצי SVG כאן מבטיח שלא יהיו מסכי התחברות נסתרים או סקריפטים זדוניים שיוכלו להערים על משתמשים במהלך שיתוף פעולה יומיומי.

פורטלי העלאה לאינטרנט

אכיפת ניקוי (santiization) על כל הקבצים המועלים לאתרי האינטרנט, למערכת ניהול התוכן (CMS) או למערכות ניהול הנכסים הדיגיטליים שלכם. פעולה זו מונעת מתוקפים להסתיר קוד מזיק בתוך מה שנראה כמו לוגו או גרפיקה פשוטים.

העברת קבצים ו MFT ( Managed File Transfer )

לְשַׁלֵב Deep CDR לתהליכי עבודה של העברת קבצים כך שכל קובץ, במיוחד קובץ משותפים או ספקים, בטוח לשימוש לפני שהוא נכנס לרשת שלך. זה מפחית את הסיכונים בשרשרת האספקה כתוצאה מנכסים שנפגעו.

השפעה עסקית

התעלמות מחיטוי SVG עלולה להוביל ל:

גניבת אישורים: דפי כניסה מזויפים אוספים אישורי משתמש.
זיהומים של תוכנות זדוניות: שרשראות הפניה מחדש מספקות תוכנות כופר או גנבות.
הפרות ציות: הפרות הקשורות למידע רגיש עלולות להוביל לקנסות ולנזק תדמיתי.

שיטות עבודה מומלצות למניעת התקפה מבוססת SVG

עמדת ברירת מחדל: אין JavaScript ב-SVG ממקורות לא מהימנים.
חיטוי או רסטר: החלה Deep CDR לכל קבצי ה-SVG הנכנסים.
בשילוב עם CSP: השתמשו כהגנה עומק, לא כבקרה עיקרית.
ביקורת ורישום: מעקב אחר כל פעולת חיטוי לצורך תאימות וזיהוי פלילי.

מחשבות סיכום

פישינג מבוסס SVG אינו תיאורטי, זה קורה עכשיו. כלים מבוססי זיהוי לא יכולים לעמוד בקצב של טכניקות ערפול מתפתחות. Deep CDR מציע גישה דטרמיניסטית של אפס אמון, ומסירה את הסיכון לפני שהוא מגיע למשתמשים שלך.

הזמן הדגמה

תגיות:

פוסטים אחרונים

CVE-2025-50154: אימות NTLM כפוי באמצעות עיבוד קיצורי דרך של סייר Windows
14 בינואר, 2026
Secure הורדות של Chrome ו-Edge עם OPSWAT אבטחת קבצים מובנית לדפדפן
14 בינואר, 2026
מה חדש ב MetaDefender OT Security גרסה 3.6
12 בינואר, 2026
MetaDefender OT Access גרסה 2.2.0: גישה מרחוק חכמה ובטוחה יותר עבור סביבות OT
8 בינואר, 2026
הכרזה על שחרור מסגרת OESIS | ינואר 2026
7 בינואר, 2026

הירשמו ל- OPSWAT ניוזלטר

קבלו את העדכונים האחרונים OPSWAT עדכוני חברה יחד עם מידע על אירועים וחדשות שמניעות את התעשייה קדימה.

הירשם

עקבו אחרינו ברשתות החברתיות Media

לַעֲקוֹב OPSWAT בלינקדאין, בפייסבוק, בטוויטר וביוטיוב שלכם לעוד!

הישאר מעודכן עם OPSWAT !

הירשמו עוד היום כדי לקבל את העדכונים האחרונים של החברה, סיפורים, מידע על אירועים ועוד.

הירשם