可缩放矢量图形(.svg)文件是基于XML的轻量级图像格式,可在任意分辨率下渲染。这类文件通常无害,但可能包含活动代码。黑客正越来越多地将其作为秘密投放恶意软件的载体。VirusTotal最新报告揭示了该技术的演进程度——安全人员发现某个攻击活动通过武器化SVG文件投放恶意软件、伪装政府机构,并完全规避了反病毒检测。
在9月4日发布的报告中,这家谷歌旗下的扫描平台表示,其Code Insight系统发现一个伪装成哥伦比亚司法系统法律通知的SVG文件。该文件在浏览器中打开时会呈现逼真的门户网站界面,包含虚假进度条和下载按钮。点击按钮将投放含数字签名的Comodo Dragon浏览器可执行文件及恶意.dll文件——若运行.exe程序便会侧载恶意组件,进而安装更多恶意软件。
此攻击利用了SVG支持嵌入HTML和JavaScript的特性(该特性已知但常被忽视)。这意味着即使通过电子邮件附件或云存储方式传播,SVG也能作为微型网页乃至完整的网络钓鱼工具包使用。VirusTotal回溯扫描发现523个SVG文件关联同一攻击活动,其中44个在提交时未被任何反病毒引擎检出。
根据其分析,这些SVG的源代码采用了代码混淆技术,并包含“大量虚拟(垃圾)代码以增加熵值并规避静态检测”。这并非孤立事件:今年早些时候,IBM X-Force记录了针对银行和保险公司的SVG钓鱼活动;Cloudflare的Cloudforce One威胁团队也监测到SVG作为重定向器或完整凭证窃取工具的使用量激增。与此同时,Sophos等安全厂商在发现可绕过过滤器的SVG载荷后,已推出新的检测规则。
微软方面现已终止对网页版Outlook及新版Windows Outlook内联SVG渲染的支持,相关区域将显示为空白,这彻底封堵了攻击者向邮件正文植入活动内容的有效途径。目前,用户应对未知SVG文件保持与其他未知文件同等级别的警惕。
