Использование полиглот-файлов в атаках: как современные платформы анализа угроз выявляют скрытые угрозы

Полиглот-файлы сочетают элементы различных форматов, маскируя исполняемый код в часто игнорируемых разделах, таких как метаданные или комментарии внутри изображений или документов. При этом файл остаётся валидным для обработки как в исходном формате, так и в качестве скрытого. Основные векторы проникновения таких файлов в корпоративную среду включают фишинговые рассылки, где они маскируются под легитимные счета или документы, drive-by загрузки с компрометированных сайтов, загрузку через веб-интерфейсы и даже использование съёмных носителей для атак на изолированные сети. Уязвимость заключается в том, что многие системы проверяют только MIME-тип или расширение файла, не углубляясь в его фактическое содержимое.

Для демонстрации практического обнаружения подобных угроз рассмотрим кейс, описанный в новом отчёте специалистов по исследованию угроз. В рамках анализа подозрительного файла, представленного как изображение GIF, платформа Spectra Analyze продемонстрировала свой многоуровневый подход. Первичный отчёт после загрузки хэша показал несоответствие между заявленным типом файла (изображение) и его структурой. Ключевыми деталями стали поля «Тип файла», «Формат файла» и указание на возможную связь с Threat Actor (угрозовым актором). Однако для полной картины потребовался переход к графическому представлению данных.

Используя функцию Graph View (графического представления), аналитик смог визуально оценить слои извлечённых из файла данных. Граф последовательно раскрывал вложенность, в конечном итоге выделив подфайл «overlay» (наложение), который и получил вердикт «вредоносный». Исходный файл, замаскированный под изображение GIF89a, содержал большую секцию-наложение с внедрённой полезной нагрузкой на языке PHP. Этот PHP-скрипт, как выяснилось, являлся бэкдором семейства Dirtelti, веб-шеллом, содержащим жёстко прописанные ссылки на внешний домен, вероятно, использовавшийся для проверки связи или в качестве мёртвой точки. Статический анализ автоматически присвоил файлу ряд тегов, указывающих на аномалии: «contains-script» (содержит скрипт), «image-corrupt» (повреждённое изображение), «overlay» и другие, что сразу насторожило систему.

Динамический анализ, или анализ в песочнице, предоставил поведенческие инсайты, недоступные при статическом разборе. В данном случае было зафиксировано 36 сигнатур, 70 сетевых событий, 18 сброшенных файлов и 15 сопоставлений с тактиками матрицы MITRE ATT&CK. Особенно показательным стало срабатывание YARA-правил, специально написанных для обнаружения полиглот-файлов. Одно из правил, озаглавленное «Finds image files w/ PHP code in images» (Обнаруживает файлы изображений с кодом PHP внутри), чётко идентифицировало угрозу: файл начинался с магических байтов GIF89a, но где-то в его теле содержалась строка "<?php". Это классический признак полиглот-атаки, когда интерпретатор PHP может выполнить скрытый код, если файл будет обработан соответствующим образом.

Данный пример наглядно показывает, почему автоматизированный анализ бинарных файлов стал необходимостью. Платформы, подобные Spectra Analyze, позволяют не только быстро классифицировать угрозы, снижая количество ложных срабатываний, но и предоставляют экспертам actionable intelligence - практическую разведывательную информацию для ускоренного реагирования. Возможность наблюдать как структуру кода, так и его поведение при исполнении в изолированной среде, даёт комплексное понимание угрозы. Для специалистов по безопасности практический вывод заключается в необходимости внедрения многоуровневой проверки входящих файлов, выходящей за рамки проверки расширений, и регулярного обновления детектирующих правил, включая YARA, на основе актуальных тактик злоумышленников. Борьба с полиглот-файлами - это гонка на опережение, где глубокий анализ и автоматизация становятся решающими факторами успеха.