Mandiant开发了一种使用QR码绕过浏览器隔离的技术

Mandiant研究人员设计了一种方法，以便绕过浏览器隔离技术，并将C2数据嵌入到显示在合法网页上的QR码中。恶意implants使用无头浏览器渲染页面，捕捉截图，然后解码QR码以获取数据，从而启用与攻击者控制的服务器的通信。

Mandiant红队开发了一种解决方案，即返回C2数据，而不是在HTTP请求头或体中。C2服务器返回一个有效的网页，显示QR码。implants然后使用本地无头浏览器（例如使用Selenium）渲染页面，捕捉截图，然后读取QR码以获取嵌入数据。

使用QR码绕过浏览器隔离的新C2循环如下：

implants“睡眠”一段时间，然后重复循环。implants控制本地无头浏览器通过DevTools协议。implants从C2服务器通过无头浏览器检索网页。这请求 ultimate到达C2服务器。

C2服务器返回一个有效的HTML网页，其中包含命令数据嵌入在QR码中（视觉显示在页面上）。远程浏览器返回像素流引擎到本地浏览器，开始显示从C2服务器获取的渲染网页。implants等待页面完全渲染，然后捕捉本地浏览器截图。这个截图包含QR码。implants使用嵌入QR扫描库读取截图中的QR码数据，以获取嵌入数据。

implants在已经被入侵的设备上执行命令。implants（再次通过本地浏览器）导航到新的URL，其中包含命令输出嵌入在URL参数中。这个参数通过到达远程浏览器 ultimate到达C2服务器（毕竟，在合法情况下，URL参数可能需要返回正确的网页）。

C2服务器可以解码命令输出，就像传统的HTTP基于C2一样。implants“睡眠”一段时间，然后重复循环。

Mandiant研究人员使用Puppeteer和Google Chrome在无头模式下创建了一个PoCimplants，以示范他们的新C2技术。研究人员还将PoCimplants与Cobalt Strike的External C2功能集成，以便使用该技术与流行的后渗透工具。

原文始发于微信公众号（黑猫安全）：Mandiant开发了一种使用QR码绕过浏览器隔离的技术