今天小編分享的互聯網經驗:QR 碼繞過浏覽器隔離進行惡意 C2 通信,歡迎閱讀。
浏覽器隔離是一種日益流行的安全技術,它通過雲環境或虛拟機中托管的遠程 Web 浏覽器路由所有本地 Web 浏覽器請求,所訪問網頁上的任何腳本或内容都在遠程浏覽器而不是本地浏覽器上執行。
然後,頁面的渲染像素流被發送回發出原始請求的本地浏覽器,僅顯示頁面的外觀并保護本地設備免受任何惡意代碼的侵害。許多命令和控制伺服器利用 HTTP 進行通信,導致遠程浏覽器隔離以過濾惡意流量,并使這些通信模型無效。
Mandiant 發現了一種繞過浏覽器隔離技術并通過 QR 碼實現命令和控制操作的新方法,Mandiant 的新技術試圖繞過這些限制,盡管它有一些實際限制,但它表明浏覽器中現有的安全保護還遠遠不夠完美,需要結合額外措施的 " 縱深防御 " 策略。
C2 和浏覽器隔離的背景
C2 通道支持攻擊者和受感染系統之間的惡意通信,使遠程攻擊者能夠控制受破壞的設備以及執行命令、竊取數據等。由于浏覽器在設計上不斷與外部伺服器互動,因此會激活隔離措施,以防止攻擊者在安全關鍵環境中訪問底層系統上的敏感數據。
這是通過在雲端、本地虛拟機或本地托管的單獨沙盒環境中運行浏覽器來實現的。當隔離處于活動狀态時,隔離的浏覽器會處理傳入的 HTTP 請求,并且只有頁面的可視内容會流式傳輸到本地浏覽器,這意味着 HTTP 響應中的腳本或命令永遠不會到達目标。
這會阻止攻擊者直接訪問 HTTP 響應或向浏覽器注入惡意命令,從而使隐蔽的 C2 通信變得更加困難。
浏覽器隔離概述
Mandiant 的繞行技巧
Mandiant 研究人員設計了一種新技術,可以繞過現代浏覽器中現有的隔離機制。攻擊者不是将命令嵌入到 HTTP 響應中,而是将它們編碼在網頁上直觀顯示的二維碼中。
由于在浏覽器隔離請求期間網頁的視覺渲染不會被剝離,因此二維碼能夠将其返回給發起請求的客戶端。在 Mandiant 的研究中," 受害者 " 的本地浏覽器是一個無頭客戶端,由之前感染過該設備的惡意軟體控制,該客戶端會捕獲檢索到的二維碼并對其進行解碼以獲取指令。
使用二維碼繞過浏覽器隔離
Mandiant 的概念驗證演示了對最新 Google Chrome 網絡浏覽器的攻擊,通過 Cobalt Strike 的外部 C2 功能(一種廣泛濫用的筆測試工具包)集成植入程式。
雖然 PoC 顯示攻擊是可行的,但該技術并非完美無缺,特别是考慮到現實世界的适用性。
首先,數據流的最大大小被限制為 2,189 字節,大約是 QR 碼可以攜帶的最大數據的 74%,如果在惡意軟體的解釋器上讀取 QR 碼時出現問題,則數據包的大小需要進一步減小。 其次,需要考慮延遲,因為每個請求大約需要 5 秒。這将數據傳輸速率限制為大約 438 字節 / 秒,因此該技術不适合發送大負載或促進 SOCKS 代理。
最後,Mandiant 表示,其研究沒有考慮額外的安全措施,例如網域名信譽、URL 掃描、數據丢失防護和請求啟發式,這些措施在某些情況下可能會阻止這種攻擊或使其無效。盡管 Mandiant 基于 QR 碼的 C2 技術的帶寬較低,但如果不被阻止,它仍然可能很危險。
