QR-коды могут использоваться для обхода изоляции браузера

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
30.214
Репутация
11.800
Реакции
62.507
RUB
50
Специалисты компании Mandiant о новом способе обхода технологии изоляции браузера и осуществления операций с помощью QR-кодов.

Изоляцией браузера называют защиту, в рамках которой все локальные запросы браузера направляются в удаленные браузеры, размещенные в облаке, на виртуальных машинах или on-premise.

i


То есть любые скрипты и контент с посещаемой страницы выполняются в удаленном браузере, а не в локальном. Затем полученный результат отображается в локальном браузере, который сделал первоначальный запрос, но любой потенциально вредоносный код при этом отсекается.

Исследователи объясняют, что многие C&C-серверы используют HTTP для связи, и в результате удаленный браузер способен отфильтровать вредоносный трафик, что делает такие схемы коммуникации неэффективными.


Схема работы изоляции

В Mandiant попытались обойти эти ограничения. И хотя созданная экспертами атака имеет некоторые ограничения, она демонстрирует, что существующие средства защиты еще далеки от совершенства.

Отчет специалистов гласит, что когда изоляция активна, в локальный браузер передается только визуальное содержимое страницы, а скрипты или команды в HTTP-ответе в итоге не достигают цели, оставаясь в облаке или на виртуальной машине. В итоге злоумышленник не может получить прямой доступ к HTTP-ответам или внедрить вредоносные команды, а это заметно усложняет C&C-коммуникацию.

Для таких ситуаций эксперты предложили не встраивать команды в HTTP-ответы, а зашифровать их в QR-код, который будет визуально отображаться на странице. В итоге такой QR-код может вернуться к клиенту, инициировавшему запрос.


Схема PoC-атаки

В исследовании Mandiant локальный браузер жертвы представляет собой headless-клиент, управляемый малварью, ранее заразившей устройство. В ходе атаки вредонос перехватывает полученный QR-код и расшифровывает его, чтобы получить дальнейшие инструкции. Proof-of-concept специалистов демонстрирует атаку на последнюю версию Google Chrome, и имплант интегрируется в систему жертвы при помощи Cobalt Strike External C2.

При этом исследователи признают, что эту технику нельзя назвать безупречной. Дело в том, что поток данных будет ограничен максимум 2189 байтами, то есть примерно 74% от максимального объема информации, которую могут содержать QR-коды. Кроме того, пакеты должны быть еще меньше, если у малвари возникнут проблемы с чтением QR-кодов.

Также необходимо учитывать задержку, поскольку каждый запрос занимает порядка 5 секунд. Это ограничивает скорость передачи данных до 438 байт/с, поэтому техника не подходит, например, для отправки больших полезных нагрузок.

Демонстрация атаки (в реальности окно будет скрыто)

Дополнительно отмечается, что в исследовании не учитывались дополнительные меры безопасности, которые в некоторых случаях могут заблокировать подобную атаку или сделать ее неэффективной. К ним относятся проверка репутации домена, сканирование URL, предотвращение потери данных и эвристический анализ запросов.

Тем не менее, метод с QR-кодами все же может применяться на практике. Поэтому администраторам рекомендуется внимательно следить за аномальным трафиком и headless-браузерами, работающими в автоматическом режиме.


 
  • Теги
    http qr-код технологии изоляции браузера
  • Назад
    Сверху Снизу