Mantiant, tarayıcı izolasyon teknolojisini atlamak ve QR kodları aracılığıyla komut ve kontrol işlemleri elde etmek için yeni bir yöntem belirlemiştir.
Tarayıcı izolasyonu, tüm yerel web tarayıcı isteklerini bir bulut ortamında veya sanal makinelerde barındırılan uzak web tarayıcılarından yönlendiren giderek daha popüler bir güvenlik teknolojisidir.
Ziyaret edilen Web sayfasındaki komut dosyaları veya içerik, yerel olandan ziyade uzak tarayıcıda yürütülür. Sayfanın oluşturulan piksel akışı daha sonra orijinal isteği yapan yerel tarayıcıya geri gönderilir, yalnızca sayfanın nasıl göründüğünü görüntüleyicidir ve yerel cihazı herhangi bir kötü amaçlı koddan korur.
Birçok komut ve kontrol sunucusu iletişim için HTTP'yi kullanır, bu da uzak tarayıcı izolasyonunun kötü niyetli trafiği filtrelemesine ve bu iletişim modellerini etkisiz hale getirmesine neden olur.
Mantiant'ın yeni tekniği, bu kısıtlamaları atlamaya çalışır ve bazı pratik sınırlamaları olmasına rağmen, tarayıcılardaki mevcut güvenlik korumalarının mükemmel olmaktan uzak olduğunu, ek önlemleri birleştiren "derinlemesine savunma" stratejileri çağrısında bulunduğunu göstermektedir.
C2 kanalları, saldırganlar ve tehlikeye atılan sistemler arasında kötü niyetli iletişim sağlar, uzak aktörlere ihlal edilen cihaz üzerinde kontrolü ve komutları yürütme, verileri pespiltrat etme ve daha fazlasını sağlar.
Tarayıcılar tasarım yoluyla sürekli olarak harici sunucularla etkileşime girdiğinden, saldırganların güvenlik açısından kritik ortamlarda altta yatan sistemdeki hassas verilere erişmesini önlemek için izolasyon ölçümleri etkinleştirilir.
Bu, tarayıcıyı bulutta barındırılan ayrı bir kum havuzu ortamında, yerel bir sanal makinede veya şirket içi olarak çalıştırarak elde edilir.
İzolasyon etkin olduğunda, izole tarayıcı gelen HTTP isteklerini işler ve sayfanın yalnızca görsel içeriği yerel tarayıcıya aktarılır, yani HTTP yanıtındaki komut dosyaları veya komutları asla hedefe ulaşmaz.
Bu, saldırganların HTTP yanıtlarına doğrudan erişmesini veya tarayıcıya kötü amaçlı komutlar enjekte etmesini engeller ve gizli C2 iletişimini zorlaştırır.
Maniant araştırmacılar, modern tarayıcılarda mevcut izolasyon mekanizmalarını atlayabilen yeni bir teknik geliştirdiler.
Saldırgan, komutları HTTP yanıtlarına gömmek yerine, bir web sayfasında görsel olarak görüntülenen bir QR kodunda kodlar. Tarayıcı izolasyon istekleri sırasında bir web sayfasının görsel oluşturulması çıkarılmadığından, QR kodları isteği başlatan istemciye geri dönebilir.
Mantiant'ın çalışmasında, "Mağdurun" yerel tarayıcısı, daha önce almış QR kodunu yakalayan ve talimatları almak için kod çözen cihaza enfekte olmuş kötü amaçlı yazılımlar tarafından kontrol edilen başsız bir istemcidir.
Mantiant'ın kavram kanıtı, en yeni Google Chrome web tarayıcısına yapılan saldırıyı göstererek implantı Cobalt Strike'ın yaygın olarak istismar edilmiş bir kalem test kiti olan harici C2 özelliğine entegre ediyor.
POC saldırının uygulanabilir olduğunu gösterirken, özellikle gerçek dünyadaki uygulanabilirlik göz önüne alındığında teknik kusursuz değildir.
Birincisi, veri akışı maksimum 2.189 bayt ile sınırlıdır, bu da QR kodlarının taşıyabileceği maksimum verilerin yaklaşık% 74'ü ve kötü amaçlı yazılımların tercümanındaki QR kodlarını okuyan sorunlar varsa paketlerin daha da fazla düşmesi gerekir. .
İkincisi, her istek yaklaşık 5 saniye sürdüğü için gecikmenin dikkate alınması gerekir. Bu, veri aktarım oranlarını yaklaşık 438 bayt/sn ile sınırlar, bu nedenle teknik büyük yükler göndermek veya proxy'yi kolaylaştırmak için uygun değildir.
Son olarak Mantiant, çalışmasının etki alanı itibarı, URL taraması, veri kaybı önleme ve bazı durumlarda bu saldırıyı engelleyebilecek veya etkisiz hale getirebilecek sezgisel tarama gibi ek güvenlik önlemlerini dikkate almadığını söyledi.
Mantiant'ın QR kodu tabanlı C2 tekniği düşük bant genişliği olmasına rağmen, engellenmezse yine de tehlikeli olabilir. Bu nedenle, kritik ortamlardaki yöneticilerin anormal trafik ve otomasyon modunda çalışan başsız tarayıcıların izlenmesi önerilir.
Roman Kimlik Yardım Kampanyası, güvenlikten kaçınmak için bozuk kelime belgeleri kullanıyor
Google, Chrome'daki “Geliştirilmiş Koruma” özelliği artık AI kullanıyor
VMware, kritik venter sunucusu RCE kusuru için kötü yamayı düzeltiyor
Kaynak: Bleeping Computer