研究人员展示了一种概念验证网络攻击载体,它可以绕过远程、内部部署和本地版本的浏览器隔离安全技术,从攻击者控制的服务器发送恶意通信。
安全研究人员找到了一种绕过三种类型的浏览器隔离的方法,这将允许网络攻击者使用 QR 码将恶意数据发送到远程设备。
Mandiant 的研究人员展示了一种概念验证 (PoC),它通过使用机器可读的 QR 码覆盖基于 HTTP 请求的通信来绕过远程、本地和本地浏览器隔离。通过这种方式,该技术允许攻击者将命令从命令和控制 (C2) 服务器发送到受害者的设备。
组织经常使用浏览器隔离来对抗网络钓鱼威胁,保护设备免受浏览器提供的攻击,并阻止攻击者使用的典型 C2 策略。该技术在安全环境(例如云服务器或虚拟机)中运行浏览器,然后将视觉内容流式传输到用户的设备。
使用浏览器隔离时,远程浏览器会处理从页面渲染到执行 JavaScript 的所有事情,只有网页的视觉外观会发送回用户的本地浏览器。
由于攻击者通常通过 HTTP 请求向受害者的设备发送命令或从受害者的设备发送命令,因此浏览器隔离使攻击者难以以典型方式远程控制设备。这是因为返回给本地浏览器的 HTTP 响应仅包含用于呈现远程浏览器视觉页面内容的流引擎,“并且仅将像素流发送到本地浏览器以直观地呈现网页,”Mandiant 首席安全顾问 Thibault Van Geluwe de Berlaere 在帖子中写道。“这阻止了典型的基于 HTTP 的 C2,因为本地设备无法解码 HTTP 响应。”
使用 QR 码绕过浏览器隔离
Mandiant 研究人员开发了一个 PoC,演示了如何在无头模式下使用 Puppeteer JavaScript 库和 Google Chrome 浏览器绕过浏览器隔离。但是,任何现代浏览器都可用于实现 PoC,Van Geluwe de Berlaere 指出。
C2 服务器不会像典型的攻击者控制尝试向设备发送命令那样在 HTTP 请求标头或正文中返回 C2 数据,而是返回一个直观地显示 QR 码的有效网页。“然后,植入物使用本地无头浏览器...来呈现页面,抓取屏幕截图,并读取二维码以检索嵌入的数据,“Van Geluwe de Berlaere 写道。
“通过利用机器可读的二维码,攻击者可以将数据从攻击者控制的服务器发送到恶意植入物,即使网页在远程浏览器中呈现也是如此。”
在攻击序列中,恶意植入从浏览器隔离的像素流引擎直观地呈现网页,并从页面上显示的 QR 码中解码命令。然后,它从 C2 服务器检索有效的 HTML 网页,并将命令数据编码为以 QR 码的形式直观地显示在页面上。
然后,远程浏览器将像素流引擎返回给本地浏览器,启动一个视觉流,显示从 C2 服务器获取的渲染页面。植入程序等待页面完全呈现,然后获取包含 QR 码的本地浏览器的屏幕截图,恶意植入程序读取该屏幕截图以在受感染的设备上执行 C2 命令。
然后,植入程序再次通过本地浏览器导航到新 URL,该 URL 包含在 URL 参数中编码的命令输出。此参数将传递到远程浏览器,并最终传递到 C2 服务器,该服务器将命令输出解码,就像在传统的基于 HTTP 的 C2 中一样。
实施旁路的挑战
研究人员指出,尽管 PoC 展示了攻击者如何绕过浏览器隔离,但在使用它时需要考虑一些限制和挑战。
一是将 PoC 与具有最大数据大小(即 2,953 字节、177x177 网格、纠错级别“L”)的 QR 码一起使用是不可行的,因为“在本地浏览器中呈现的网页的视觉流质量不足,无法可靠地读取 QR 码内容,”Van Geluwe de Berlaere 解释说。相反,研究人员使用了最多包含 2,189 字节内容的二维码。
此外,由于在无头模式下使用 Chrome 时涉及的处理,以及远程浏览器启动所需的时间、页面渲染要求以及从远程浏览器返回本地浏览器的视觉内容流,请求至少需要 5 秒钟才能可靠地显示和扫描 QR 码。“这会在 C2 通道中引入明显的延迟,”他写道。
最后,PoC 不考虑浏览器隔离的其他安全功能,例如域信誉、URL 扫描、数据丢失预防和请求启发式,如果它们存在于使用它的浏览器隔离环境中,则可能需要克服这些功能。
尽管绕过成功,但 Mandiant 仍然建议将浏览器隔离作为防止客户端浏览器利用和网络钓鱼攻击的强大保护措施。然而,Van Geluwe de Berlaere 写道,它应该用作“全面的网络防御态势”的一部分,其中还包括监控异常网络流量和浏览器处于自动化模式以防御基于 Web 的攻击。
信息来源:https://www.darkreading.com/endpoint-security/attackers-qr-codes-bypass-browser-isolation
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局