Verschleierung von HTML-Tags
21. Juli 2025
Von Rikesh Vekaria und dem Mimecast Threat Research Team
- Angreifer, die HTML-Tag-Verschleierung einsetzen, um die Erkennung durch E-Mail-Sicherheitssysteme zu umgehen
- Mithilfe von CSS-Styling-Techniken werden bösartige Inhalte so dargestellt, dass sie Sicherheitslösungen umgehen und für Endnutzer dennoch legitim erscheinen
- Kampagnen zur Markenimitation unter Ausnutzung der Verschleierungstechniken von Microsoft im Bereich des Urheberrechts
Kampagnenübersicht
Das Mimecast Threat Research-Team hat eine ausgeklügelte HTML-Verschleierungstechnik identifiziert, die von Angreifern eingesetzt wird, um E-Mail-Sicherheitssysteme zu umgehen. Diese Methode nutzt die legitimen HTML-Tags <bdo> „<“, „bdo“>( Bi-Directional Override) und <cite> „<“ cite> in Kombination mit CSS-Styling, um schädliche Inhalte in scheinbar legitimen E-Mail-Nachrichten zu verbergen. Diese Verschleierungstechnik stellt eine Weiterentwicklung der E-Mail-basierten Umgehungsmethoden dar und verdeutlicht, dass sich die Angreifer kontinuierlich an Sicherheitsmaßnahmen anpassen. Durch die Ausnutzung der legitimen Funktionen von HTML-Tags, die für die Textformatierung und das Zitieren vorgesehen sind, können Angreifer versteckte Inhalte einbetten, die herkömmliche inhaltsbasierte Erkennungsmechanismen umgehen, während das visuelle Erscheinungsbild legitimer Kommunikation erhalten bleibt.
Technische Analyse
Ausnutzung von BDO-Tags
Das <bdo> HTML-Tag „<“ (bdo> ) dient traditionell dazu, die Textrichtung in HTML-Dokumenten zu steuern, insbesondere durch die Steuerung der Textformatierung von rechts nach links (RTL) und von links nach rechts (LTR) mithilfe des dir-Attributs. Allerdings nutzen Angreifer dieses Tag ohne korrekte Richtungsangaben aus und verwenden es stattdessen als Container für verschleierte Inhalte.
Böswillige Implementierung:
In diesem Beispiel wird der legitime Text „ "© 2025 Microsoft." “ verschleiert, indem zufällige alphanumerische Zeichen in BDO-Tags eingefügt werden, wodurch der lesbare Inhalt aufgebrochen wird, während die Gesamtstruktur erhalten bleibt.
Ausnutzung von CITE-Tags
Das <cite> Tag „> “ gemäß den „<“ dient dazu, den Titel kreativer Werke zu kennzeichnen, und wird standardmäßig in der Regel kursiv dargestellt. Angreifer nutzen dieses Tag, um verschleierte Inhalte in scheinbar legitimen Text zu verbergen.
Böswillige Implementierung:
Ähnlich wie bei der BDO-Technik wird bei dieser Methode die "© 2025 Microsoft." Text, indem zufällige Zeichen innerhalb von CITE-Tags eingefügt werden, wodurch eine visuelle Verschleierung erzielt wird, während die zugrunde liegende Struktur der Botschaft erhalten bleibt.
CSS-basierte Unsichtbarkeit
Der entscheidende Bestandteil dieser Verschleierungstechnik beruht auf CSS-Styles, die den schädlichen Inhalt für Endnutzer unsichtbar machen, während er im HTML-Quellcode weiterhin vorhanden bleibt.
BDO-Tag-Gestaltung:
Gestaltung von CITE-Tags:
Die Angabe „font-size: 0“ stellt sicher, dass der verschleierte Text unabhängig von der angegebenen Schriftart bei der Darstellung durch E-Mail-Clients unsichtbar bleibt. Diese Technik verbirgt den schädlichen Inhalt wirksam vor den Nutzern und umgeht möglicherweise Sicherheitssysteme, die sichtbare Inhalte analysieren.
Nachstehend finden Sie ein Beispiel für eine Kampagne, bei der diese Technik zum Einsatz kommt: Auf der linken Seite sehen Sie den rohen HTML-Code, auf der rechten Seite die Darstellung der E-Mail in Outlook.
Methodik zur Steuerhinterziehung
Diese Technik weist mehrere ausgefeilte Ausweichmerkmale auf:
- Missbrauch legitimer Tags: Durch die Verwendung von Standard-HTML-Tags für nicht vorgesehene Zwecke nutzt diese Technik die Lücke zwischen der Funktionalität der Tags und der Sicherheitserkennungslogik aus.
- CSS-Manipulation: Die Kombination aus HTML-Struktur und CSS-Gestaltung schafft eine mehrschichtige Verschleierung, die den Inhalt von der Darstellung trennt.
- Clientseitiges Rendering: Die Verschleierung wird erst bei der Verarbeitung durch E-Mail-Clients wirksam, was es Sicherheitssystemen erschwert, die endgültige gerenderte Ausgabe zu analysieren.
- Markenimitation: Diese Technik zielt gezielt auf wiedererkennbare Markenelemente wie beispielsweise die Urheberrechtshinweise von Microsoft ab und verleiht böswilligen Mitteilungen dadurch möglicherweise Glaubwürdigkeit.
Die Weiterentwicklung HTML-basierter Verschleierungstechniken verdeutlicht, wie wichtig es ist, fortschrittliche Erkennungsfunktionen aufrechtzuerhalten, die sowohl die technische Struktur als auch die visuelle Darstellung von E-Mail-Inhalten analysieren können. Unternehmen sollten sicherstellen, dass ihre Sicherheitsmaßnahmen diese ausgeklügelten Umgehungsmethoden wirksam erkennen und abwehren können.
Mimecast-Schutz
Mimecast hat erweiterte HTML-Analysefunktionen implementiert, um CSS-basierte Verschleierungstechniken zu erkennen, darunter auch solche, die BDO- und CITE-Tags verwenden. Unsere Erkennungssysteme analysieren sowohl die HTML-Struktur als auch die CSS-Formatierung, um Inhalte zu identifizieren, die für Nutzer möglicherweise ausgeblendet sind, im Quellcode jedoch weiterhin vorhanden sind.
Ziele:
Diese Vorgehensweise wurde in verschiedenen Branchen und geografischen Regionen beobachtet, wobei der Schwerpunkt insbesondere auf Kampagnen lag, bei denen sich die Täter als vertrauenswürdige Technologiemarken und -dienste ausgaben.
Indikatoren für eine Kompromittierung (IOCs)
HTML-Muster:
- Verwendung von BDO-Tags ohne korrekte „dir“-Attribute
- CITE-Tags, die zufällige alphanumerische Zeichen enthalten
- CSS-Formatierung mit „font-size: 0“ für BDO- oder CITE-Tags
- Zerlegte Markennamen oder Urheberrechtshinweise innerhalb dieser Tags
CSS-Indikatoren:
- font-size: 0 -Deklarationen, die auf BDO- oder CITE-Elemente abzielen
- Kombination der Eigenschaften „font-family“ und „font-style“ bei einer Schriftgröße von Null
- Stildeklarationen, die Inhalte unsichtbar machen
Empfehlungen
Sicherheitsbewusstsein:
- Klären Sie die Nutzer darüber auf, wie wichtig es ist, die Echtheit des Absenders nicht nur anhand des äußeren Erscheinungsbildes zu überprüfen.
- Schulen Sie Sicherheitsteams darin, HTML-Verschleierungstechniken bei der manuellen Analyse zu erkennen.
- Führen Sie Meldemechanismen für verdächtige E-Mails ein, die zwar legitim erscheinen, jedoch ungewöhnliche Formatierungen enthalten
Proaktive Bedrohungssuche:
- Durchsuchen Sie die E-Mail-Protokolle nach HTML-Inhalten, die BDO- oder CITE-Tags mit alphanumerischen Inhalten enthalten.
- Überwachen Sie CSS-Stilangaben, die die Schriftgröße für bestimmte HTML-Elemente auf 0 festlegen.
- Analysieren Sie E-Mails, die fragmentierte Markennamen oder Urheberrechtshinweise enthalten.