Güvenlik araştırmacıları, bir siber saldırganın uzak bir cihaza kötü amaçlı veriler göndermesine olanak tanıyan üç tür tarayıcı izolasyonunu atlamanın bir yolunu buldu. QR kodları.
Mandiant’tan araştırmacılar gösterdi makine tarafından okunabilen QR kodlarıyla HTTP istek tabanlı iletişimi geçersiz kılarak uzaktan, şirket içi ve yerel tarayıcı izolasyonunu aşan bir kavram kanıtı (PoC). Bu şekilde teknik, saldırganların bir komuta ve kontrol (C2) sunucusundan kurbanın cihazına komutlar göndermesine olanak tanır.
Tarayıcı izolasyonu Genellikle kuruluşlar tarafından savaşmak için kullanılır Kimlik avı tehditlericihazı tarayıcı tarafından sağlanan saldırılara karşı koruyun ve saldırganlar tarafından kullanılan tipik C2 taktiklerini caydırın. Bu teknik, bir tarayıcıyı bulut sunucusu veya sanal makine gibi güvenli bir ortamda çalıştırır ve ardından görsel içeriği kullanıcının cihazına aktarır.
Tarayıcı izolasyonu kullanıldığında, uzak tarayıcı, sayfanın oluşturulmasından JavaScript’in çalıştırılmasına kadar her şeyi yönetir ve web sayfasının yalnızca görsel görünümü kullanıcının yerel tarayıcısına geri gönderilir.
Saldırganlar genellikle HTTP istekleri yoluyla kurbanın cihazına ve cihazından komutlar gönderdiğinden, tarayıcı izolasyonu, saldırganların bir cihazı tipik şekilde uzaktan kontrol etmesini zorlaştırır. Mandiant’ın baş güvenlik danışmanı Thibault Van, bunun nedeninin, yerel tarayıcıya döndürülen HTTP yanıtının yalnızca uzak tarayıcının görsel sayfa içeriğini oluşturmak için akış motorunu içermesi ve “ve web sayfasını görsel olarak oluşturmak için yerel tarayıcıya yalnızca bir piksel akışının gönderilmesi” olduğunu söylüyor. Geluwe de Berlaere gönderide şunu yazdı. “Yerel aygıt HTTP yanıtının kodunu çözemediğinden bu, tipik HTTP tabanlı C2’yi engeller.”
QR Kodlarıyla Tarayıcı İzolasyonunu Atlamak
Mandiant araştırmacıları, tarayıcı izolasyonunun nasıl aşılacağını gösteren bir PoC geliştirdi. Kuklacı JavaScript kitaplığı ve Google Chrome tarayıcısı başsız modda. Ancak Van Geluwe de Berlaere, PoC’ye ulaşmak için herhangi bir modern tarayıcının kullanılabileceğini belirtti.
Saldırganın kontrol ettiği tipik bir cihaza komut gönderme girişiminde olduğu gibi, HTTP istek başlıklarında veya gövdesinde C2 verilerini döndürmek yerine, C2 sunucusu görsel olarak bir komut dosyası gösteren geçerli bir web sayfası döndürür. QR kodu. Van Geluwe de Berlaere, “İmplant daha sonra sayfayı oluşturmak için yerel bir başsız tarayıcı kullanıyor, ekran görüntüsünü alıyor ve gömülü verileri almak için QR kodunu okuyor.”
“Saldırgan, makine tarafından okunabilen QR kodlarından yararlanarak, web sayfası uzak bir tarayıcıda oluşturulduğunda bile, saldırgan tarafından kontrol edilen sunucudan kötü amaçlı bir implanta veri gönderebilir.”
Saldırı sırasında, kötü amaçlı implant, web sayfasını tarayıcı izolasyonunun piksel akış motorundan görsel olarak işler ve sayfada görüntülenen QR kodundaki komutun kodunu çözer. Daha sonra, sayfada görsel olarak gösterilen bir QR kodunda kodlanmış komut verileriyle birlikte C2 sunucusundan geçerli bir HTML web sayfasını alır.
Uzak tarayıcı daha sonra piksel akışı motorunu yerel tarayıcıya geri döndürerek C2 sunucusundan alınan işlenmiş sayfayı gösteren görsel bir akışı başlatır. İmplant, sayfanın tamamen oluşturulmasını bekler ve ardından kötü amaçlı implantın, ele geçirilen cihazda C2 komutunu yürütmek için okuduğu QR kodunu içeren yerel tarayıcının ekran görüntüsünü alır.
İmplant daha sonra bir URL parametresinde kodlanmış komut çıktısını içeren yeni bir URL’ye gitmek için tekrar yerel tarayıcıdan geçer. Bu parametre uzak tarayıcıya ve sonuçta geleneksel HTTP tabanlı C2’de olduğu gibi komut çıktısının kodunu çözen C2 sunucusuna aktarılır.
Bypass’ı Uygulamanın Zorlukları
PoC saldırganların nasıl dolaşabileceğini gösterse de tarayıcı izolasyonuAraştırmacılar, bunu kullanırken dikkate alınması gereken bazı sınırlamalar ve zorluklar olduğunu belirtti.
Birincisi, PoC’yi aşağıdakilerle kullanmanın mümkün olmamasıdır: QR kodları Van Geluwe, “yerel tarayıcıda oluşturulan web sayfasının görsel akışının QR kodu içeriğini güvenilir bir şekilde okumak için yetersiz kalitede olması nedeniyle” maksimum veri boyutuna (yani 2.953 bayt, 177×177 ızgara, Hata Düzeltme Düzeyi “L”) sahip olan de Berlaere açıkladı. Bunun yerine araştırmacılar maksimum 2.189 byte içerik içeren QR kodları kullandılar.
Ayrıca, Chrome’u başsız modda kullanırken yapılan işlemlerin yanı sıra uzak tarayıcının başlatılması için geçen süre, sayfa oluşturma gereksinimleri ve buna bağlı olarak isteklerin QR kodunu güvenilir bir şekilde göstermesi ve taraması en az beş saniye sürer. görsel içeriğin uzak tarayıcıdan yerel tarayıcıya geri akışı. “Bu, C2 kanalında önemli bir gecikmeye neden oluyor” diye yazdı.
Son olarak PoC diğerlerini dikkate almaz güvenlik özellikleri Etki alanı itibarı, URL tarama, veri kaybını önleme ve istek buluşsal yöntemleri gibi tarayıcı izolasyonunun, kullanıldığı tarayıcı izolasyon ortamında mevcut olması durumunda aşılması gerekebilecek sorunlar.
Baypasın başarısına rağmen Mandiant, istemci tarafı tarayıcı istismarına ve kimlik avı saldırılarına karşı güçlü bir koruma önlemi olarak tarayıcı izolasyonunu hâlâ öneriyor. Ancak Van Geluwe de Berlaere, bunun Web tabanlı saldırılara karşı savunma yapmak için anormal ağ trafiğinin ve otomasyon modunda tarayıcının izlenmesini de içeren “çok yönlü bir siber savunma duruşunun” bir parçası olarak kullanılması gerektiğini yazdı.