- 14,263
- 20
- 8 Ноя 2022
Новая техника взлома поражает своей простотой и эффективностью.
Эксперты из компании Mandiant Для просмотра ссылки Войдиили Зарегистрируйся новый метод обхода технологий изоляции браузеров, позволяющий злоумышленникам организовывать C2 -коммуникации с использованием QR-кодов. Это открытие демонстрирует уязвимости в современных системах безопасности браузеров.
Технология изоляции браузера предназначена для повышения безопасности: она направляет все запросы локального браузера через удалённые браузеры, работающие в облаке или виртуальных машинах. Любой код на посещаемых сайтах выполняется на удалённой стороне, а на локальное устройство передаётся только визуальное изображение страницы.
Однако Mandiant нашла способ обойти эту защиту. Новый метод использует QR-коды для передачи команд. Визуальное отображение QR-кода на странице проходит через изоляцию браузера, позволяя вредоносному ПО на заражённом устройстве считывать и декодировать его содержимое.
Эксперимент Mandiant показал успешный обход защиты на актуальной версии Google Chrome . Исследователи использовали Cobalt Strike , популярный инструмент для тестирования на проникновение, чтобы реализовать эту атаку.
Тем не менее, метод имеет свои ограничения. Во-первых, размер данных, передаваемых через QR-коды, ограничен до 2 189 байт, что усложняет передачу больших объёмов информации. Во-вторых, высокая задержка между запросами делает метод медленным — около 438 байт в секунду. Это делает технику непригодной для масштабных атак, таких как проксирование через SOCKS.
Кроме того, Mandiant подчёркивает, что дополнительные меры защиты, такие как проверка репутации доменов, сканирование URL и предотвращение утечки данных, могут блокировать этот метод.
Тем не менее, несмотря на ряд ограничений, угроза остаётся реальной. Администраторам критически важных систем рекомендуется внимательно следить за аномальным трафиком и использовать защитные механизмы для обнаружения автоматизированных браузеров в сети.
Эксперты из компании Mandiant Для просмотра ссылки Войди
Технология изоляции браузера предназначена для повышения безопасности: она направляет все запросы локального браузера через удалённые браузеры, работающие в облаке или виртуальных машинах. Любой код на посещаемых сайтах выполняется на удалённой стороне, а на локальное устройство передаётся только визуальное изображение страницы.
Однако Mandiant нашла способ обойти эту защиту. Новый метод использует QR-коды для передачи команд. Визуальное отображение QR-кода на странице проходит через изоляцию браузера, позволяя вредоносному ПО на заражённом устройстве считывать и декодировать его содержимое.
Эксперимент Mandiant показал успешный обход защиты на актуальной версии Google Chrome . Исследователи использовали Cobalt Strike , популярный инструмент для тестирования на проникновение, чтобы реализовать эту атаку.
Тем не менее, метод имеет свои ограничения. Во-первых, размер данных, передаваемых через QR-коды, ограничен до 2 189 байт, что усложняет передачу больших объёмов информации. Во-вторых, высокая задержка между запросами делает метод медленным — около 438 байт в секунду. Это делает технику непригодной для масштабных атак, таких как проксирование через SOCKS.
Кроме того, Mandiant подчёркивает, что дополнительные меры защиты, такие как проверка репутации доменов, сканирование URL и предотвращение утечки данных, могут блокировать этот метод.
Тем не менее, несмотря на ряд ограничений, угроза остаётся реальной. Администраторам критически важных систем рекомендуется внимательно следить за аномальным трафиком и использовать защитные механизмы для обнаружения автоматизированных браузеров в сети.
- Источник новости
- www.securitylab.ru
