Las técnicas de ataque basadas en imágenes, como la esteganografía y el «polyglot», no son una novedad para los equipos de seguridad. A pesar de que existen soluciones para mitigar los riesgos, los autores de amenazas idean constantemente nuevos métodos para ocultar malware en formatos de imagen de confianza. Una técnica avanzada de ataque basada en imágenes se conoce como cargas útiles poliglotas de cross-site scripting (XSS). Estas cargas útiles aprovechan imágenes poliglotas, que contienen tanto una imagen válida como código o scripts ocultos. Las cargas útiles se dirigen específicamente a vulnerabilidades de los navegadores web para llevar a cabo ataques XSS que roban datos o instalan malware, eludiendo la detección, como las restricciones de la Política de Seguridad de Contenidos (CSP).
Para adelantarse a estas nuevas amenazas engañosas, las organizaciones necesitan soluciones de seguridad de «confianza cero» que vayan más allá de la detección de riesgos conocidos y adopten medidas preventivas para garantizar que se frustren los posibles ataques futuros, independientemente de si el malware es conocido o nuevo. Deep Content Disarm and Reconstruction CDR)OPSWAT previene los ataques sigilosos basados en imágenes mediante la desinfección de los archivos de imagen, la eliminación de cualquier código potencialmente malicioso y su reconstrucción, de modo que puedan utilizarse con seguridad en cualquier entorno digital.
Nivel de riesgo de los vectores de ataque de malware basados en imágenes
Esteganografía
La esteganografía de imágenes se observó por primera vez en un ciberataque perpetrado en 2011 mediante el malware Duqu. En esta campaña, la información se cifró y se ocultó dentro de un archivo JPEG básico, con el objetivo de extraer datos del sistema atacado. La esteganografía es una de las formas en que los actores maliciosos pasan desapercibidos. Consiste en incrustar cargas de malware en archivos de imagen mediante la modificación de los datos de píxeles, y permanece completamente oculta hasta que se descodifica.
Sin embargo, la esteganografía solo funciona si se dispone de una herramienta de descodificación, lo que la convierte en el método menos sofisticado para la distribución de malware a través de imágenes.
Políglota
Considerada más sofisticada que la esteganografía, Polyglot requiere una combinación de dos tipos de archivo diferentes. Por ejemplo, PHAR + JPEG (archivos PHP y archivos JPEG), GIFRAR (archivos GIF y RAR), JS + JPEG (archivos JavaScript y JPEG), etc. Las imágenes Polyglot funcionan perfectamente como archivos de imagen normales.
Sin embargo, también pueden utilizarse para introducir de forma encubierta scripts maliciosos o cargas de datos. Estas cargas eluden las defensas habituales y ejecutan los ataques que contienen cuando se abren en entornos específicos, como los navegadores web. El peligro de Polyglot radica en que no requiere un script para extraer el código malicioso; la función del navegador lo ejecuta automáticamente.
Cargas útiles XSS en varios idiomas
Las cargas útiles XSS poliglotas suponen un riesgo elevado al combinar técnicas poliglotas con ataques XSS. Estas cargas útiles utilizan imágenes poliglotas para ocultar scripts que aprovechan vulnerabilidades del navegador y eluden protecciones clave como las políticas de contenido seguro (CSP). Esto permite inyectar scripts mucho más peligrosos en sitios web y aplicaciones de confianza.
El uso de imágenes poliglotas puede eludir ciertos filtros de sitios web que bloquean el alojamiento de contenido externo. Para lograrlo, la estructura HTML que precede a la inyección debe ser legítima y funcionar como una variable válida. El proceso se basa en XSS para interpretar el contenido inyectado como JavaScript, lo que permite eludir las restricciones sobre la subida de imágenes, así como la política de origen cruzado y las restricciones de la lista blanca que se aplican a continuación. A continuación, el código JavaScript se aloja en el sitio específico en cuestión, lo que permite su ejecución dentro del contexto previsto.
Prevención avanzada de amenazas con la tecnología Deep CDR™
La tecnología Deep CDR™, que obtuvo una puntuación del 100 % en protección según el informe del laboratorio SE, es líder del mercado en la prevención de amenazas basadas en archivos, tanto conocidas como desconocidas, y ofrece protección contra el malware y los ataques de día cero. Con funciones avanzadas como la desinfección recursiva y la reconstrucción precisa de archivos, la tecnología Deep CDR™ proporciona archivos seguros y utilizables. Además, es compatible con cientos de tipos de archivos, incluidos PDF, archivos comprimidos y formatos compatibles con estos.
En 2018, OPSWAT dos entradas de blog en las que se explicaba el riesgo que plantean la esteganografía y los «polyglots», así como el uso de la tecnología Deep CDR™ para prevenir estas técnicas de ataque. En esta guía, nos centraremos más en las cargas útiles XSS «polyglot».
Aprovechamiento de vulnerabilidades XSS mediante archivos JPEG poliglotas y JavaScript para eludir las políticas de seguridad de contenido (CSP)
Una carga útil XSS poliglota puede ejecutarse en múltiples contextos, como HTML, cadenas de script, JavaScript y URL.
A continuación, el autor de la amenaza cambiará src valor del atributo en index.html al nombre del archivo de salida, ejecuta el servidor HTTP y abre http://localhost:8000 en el navegador. Consulte los ejemplos que aparecen a continuación.
Prevención paso a paso de XSS Polyglot con la tecnología Deep CDR™
- Analiza la estructura de la imagen para compararla con especificaciones de imagen fiables y conocidas. La tecnología Deep CDR™ optimiza los datos de mapa de bits, elimina los datos no utilizados y, a continuación, procesa los metadatos.
- Neutraliza el posible malware mediante la extracción de la carga útil para eliminar de forma segura los scripts y datos ocultos.
- Desinfecta las imágenes neutralizando y eliminando los vectores de amenaza, al tiempo que garantiza que la imagen sea segura de usar. Los usuarios solo verán la imagen tal y como está prevista, sin ningún código extraño o desconocido que pueda ser malicioso.
Defensa en profundidad conMetaDefender OPSWAT MetaDefender
Más allá de las imágenes, la MetaDefender OPSWAT MetaDefender ofrece una protección multicapa contra las amenazas basadas en archivos. OPSWAT MetaDefender la constante evolución de nuevos tipos de ataques mediante:
- Bloquea cientos de amenazas conocidas desde el primer momento.
- Aplicación del análisis de comportamiento para detectar amenazas de día cero.
- Garantizar que todos los archivos sospechosos se eliminen o se bloqueen de forma segura.
Este enfoque ecosistémico protege sus datos y sistemas más sensibles incluso frente a vectores de ataque poco convencionales.
Reflexiones finales
A medida que las técnicas de los atacantes se vuelven más sofisticadas, la tecnología de seguridad debe evolucionar aún más rápido. OPSWAT más de 20 años de amplia experiencia en seguridad, incorporada en productos como MetaDefender y la tecnología Deep CDR™. Esta experiencia combina inteligencia sobre amenazas que se actualiza continuamente, algoritmos de detección avanzados y defensas por capas configurables para detener los ataques antes de que pongan en peligro a su organización.
Para obtener más información sobre cómo neutralizar las amenazas ocultas en imágenes y reforzar las defensas de seguridad de su empresa con OPSWAT MetaDefender, póngase en contacto con nuestro equipo hoy mismo. A la hora de adelantarse a los ciberataques del futuro, merece la pena instalar hoy mismo las defensas de seguridad adecuadas.
