Mandiant a identificat o metodă nouă de a ocoli tehnologia de izolare a browser-ului și de a realiza operațiuni de comandă și control prin intermediul codurilor QR.
Izolarea browser-ului este o tehnologie de securitate din ce în ce mai populară care dirijează toate cererile locale ale browser-ului web prin browsere web la distanță găzduite într-un mediu cloud sau mașini virtuale.
Orice scripturi sau conținut de pe pagina web vizitată sunt executate în browser-ul la distanță în loc de cel local. Fluxul de pixeli redat al paginii este apoi trimis înapoi la browser-ul local care a făcut cererea inițială, afișând doar cum arată pagina și protejând dispozitivul local de orice cod malitios.
Multe servere de comandă și control utilizează HTTP pentru comunicare, ceea ce determină izolarea browser-ului la distanță să filtreze traficul malitios și să facă aceste modele de comunicare ineficiente.
Noua tehnică de la Mandiant încearcă să ocolească aceste restricții și, deși are anumite limitări practice, demonstrează că protecțiile de securitate existente în browsere sunt departe de a fi perfecte, cerând strategii de „apărare în adâncime” care combină măsuri suplimentare.
Canalele C2 permit comunicări malitioase între atacatori și sisteme compromise, oferind actorilor la distanță control asupra dispozitivului compromis și capacitatea de a executa comenzi, exfiltra date și altele.
Deoarece browserele interacționează constant cu servere externe prin design, măsurile de izolare sunt activate pentru a împiedica atacatorii să acceseze date sensibile pe sistemul de bază în medii critice de securitate.
Aceasta este realizată prin rularea browser-ului într-un mediu sandbox separat găzduit în cloud, într-o mașină virtuală locală sau pe locație.
Când izolarea este activă, browser-ul izolat gestionează cererile HTTP primite, iar doar conținutul vizual al paginii este transmis la browser-ul local, ceea ce înseamnă că scripturile sau comenzile din răspunsul HTTP nu ajung niciodată la destinație.
Aceasta blochează atacatorii să acceseze direct răspunsurile HTTP sau să injecteze comenzi malitioase în browser, făcând comunicările C2 sub acoperire mai dificile.
Cercetătorii de la Mandiant au conceput o nouă tehnică care poate ocoli mecanismele de izolare existente în browserele moderne.
În loc să încorporeze comenzi în răspunsuri HTTP, atacatorul le encodează într-un cod QR afișat vizual pe o pagină web. Deoarece redarea vizuală a unei pagini web nu este eliminată în timpul cererilor de izolare a browser-ului, codurile QR reușesc să ajungă înapoi la clientul care a inițiat cererea.
În studiul Mandiant, browser-ul local al „victimei” este un client fără interfață controlat de malware care a infectat anterior dispozitivul, care capturează codul QR recuperat și îl decodează pentru a obține instrucțiunile.
Conceptul demonstrativ al Mandiant arată atacul asupra celui mai recent browser web Google Chrome, integrând implantul prin funcția C2 externă a Cobalt Strike, un kit de testare a penetrării larg utilizat.
Deși PoC-ul arată că atacul este fezabil, tehnica nu este impecabilă, mai ales având în vedere aplicabilitatea în lumea reală.
În primul rând, fluxul de date este limitat la maximum 2.189 de octeți, ceea ce reprezintă aproximativ 74% din capacitatea maximă a codurilor QR de a transporta date, iar pachetele trebuie să scadă și mai mult în dimensiune dacă există probleme la citirea codurilor QR pe interpretorul malware-ului.
În al doilea rând, trebuie să se ia în considerare latența, deoarece fiecare cerere durează aproximativ 5 secunde. Acest lucru limitează ratele de transfer de date la aproximativ 438 octeți/sec, astfel încât tehnica nu este potrivită pentru trimiterea de încărcături mari sau facilitarea proxy-urilor SOCKS.
În cele din urmă, Mandiant spune că studiul său nu a luat în considerare măsuri suplimentare de securitate precum reputația domeniului, scanarea URL-urilor, prevenirea pierderii de date și euristici de cerere, care pot, în unele cazuri, bloca acest atac sau îl pot face ineficient.
Deși tehnica C2 bazată pe coduri QR a Mandiant este cu bandă largă redusă, poate fi totuși periculoasă dacă nu este blocată. Prin urmare, administratorii din medii critice sunt recomandați să monitorizeze traficul anormal și browserele fără interfață care funcționează în modul de automatizare.
Leave a Reply