![QR 码可绕过浏览器隔离,实现恶意 C2 通信]( "QR 码可绕过浏览器隔离,实现恶意 C2 通信")
Mandiant 发现了一种绕过浏览器隔离技术并通过二维码实现命令和控制操作的新方法。
浏览器隔离是一种越来越流行的安全技术,它将所有本地 Web 浏览器请求通过托管在云环境或虚拟机中的远程 Web 浏览器路由。
所访问网页上的任何脚本或内容都在远程浏览器而非本地浏览器上执行。页面渲染后的像素流随后被发送回发出原始请求的本地浏览器,仅显示页面的外观并保护本地设备免受任何恶意代码的侵害。
许多命令和控制服务器利用 HTTP 进行通信,导致远程浏览器隔离来过滤恶意流量并使这些通信模型无效。
Mandiant 的新技术试图绕过这些限制,虽然它也存在一些实际限制,但它表明现有的浏览器安全保护措施还远远不够完善,需要结合额外措施的“纵深防御”策略。
C2 通道支持攻击者和受感染系统之间的恶意通信,使远程行为者能够控制受感染的设备并能够执行命令、窃取数据等。
由于浏览器在设计上不断与外部服务器交互,因此会激活隔离措施以防止攻击者在安全关键型环境中访问底层系统上的敏感数据。
这是通过在云端、本地虚拟机或本地托管的单独沙盒环境中运行浏览器来实现的。
当隔离处于活动状态时,隔离的浏览器会处理传入的 HTTP 请求,并且只有页面的可视内容会流式传输到本地浏览器,这意味着 HTTP 响应中的脚本或命令永远不会到达目标。
这阻止攻击者直接访问 HTTP 响应或向浏览器注入恶意命令,从而使隐蔽的 C2 通信更加困难。
![QR 码可绕过浏览器隔离,实现恶意 C2 通信]( "QR 码可绕过浏览器隔离,实现恶意 C2 通信")
Mandiant 的研究人员设计出一种新技术,可以绕过现代浏览器中现有的隔离机制。
攻击者不会将命令嵌入 HTTP 响应中,而是将其编码为在网页上直观显示的二维码。由于浏览器隔离请求期间不会剥离网页的视觉呈现,因此二维码能够返回到发起请求的客户端。
在 Mandiant 的研究中,“受害者”的本地浏览器是一个无头客户端,由之前感染设备的恶意软件控制,它会捕获检索到的二维码并对其进行解码以获取指令。
![QR 码可绕过浏览器隔离,实现恶意 C2 通信]( "QR 码可绕过浏览器隔离,实现恶意 C2 通信")
Mandiant 的概念验证演示了对最新的 Google Chrome 网络浏览器的攻击,并通过 Cobalt Strike 的外部 C2 功能(一种被广泛滥用的渗透测试工具包)集成了植入程序。
虽然 PoC 表明攻击是可行的,但该技术并非完美无缺,尤其是考虑到现实世界的适用性。
首先,数据流的最大限制为 2,189 字节,大约占二维码可承载的最大数据的 74%,如果恶意软件的解释器在读取二维码时出现问题,则数据包的大小需要进一步减小。
其次,需要考虑延迟,因为每个请求大约需要 5 秒。这将数据传输速率限制在大约 438 字节/秒,因此该技术不适合发送大型有效负载或促进 SOCKS 代理。
最后,Mandiant 表示,其研究没有考虑域名信誉、URL 扫描、数据丢失防护和请求启发式等其他安全措施,这些措施在某些情况下可能会阻止这种攻击或使其无效。
尽管 Mandiant 基于二维码的 C2 技术带宽较低,但如果不加以阻止,仍然可能很危险。因此,建议关键环境中的管理员监控异常流量和以自动化模式运行的无头浏览器。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):QR 码可绕过浏览器隔离,实现恶意 C2 通信
评论