Специалисты компании Mandiant рассказали о новом способе обхода технологии изоляции браузера и осуществления операций с помощью QR-кодов.
Изоляцией браузера называют защиту, в рамках которой все локальные запросы браузера направляются в удаленные браузеры, размещенные в облаке, на виртуальных машинах или on-premise. То есть любые скрипты и контент с посещаемой страницы выполняются в удаленном браузере, а не в локальном. Затем полученный результат отображается в локальном браузере, который сделал первоначальный запрос, но любой потенциально вредоносный код при этом отсекается.
Исследователи объясняют, что многие C&C-серверы используют HTTP для связи, и в результате удаленный браузер способен отфильтровать вредоносный трафик, что делает такие схемы коммуникации неэффективными.
В Mandiant попытались обойти эти ограничения. И хотя созданная экспертами атака имеет некоторые ограничения, она демонстрирует, что существующие средства защиты еще далеки от совершенства.
Отчет специалистов гласит, что когда изоляция активна, в локальный браузер передается только визуальное содержимое страницы, а скрипты или команды в HTTP-ответе в итоге не достигают цели, оставаясь в облаке или на виртуальной машине. В итоге злоумышленник не может получить прямой доступ к HTTP-ответам или внедрить вредоносные команды, а это заметно усложняет C&C-коммуникацию.
Для таких ситуаций эксперты предложили не встраивать команды в HTTP-ответы, а зашифровать их в QR-код, который будет визуально отображаться на странице. В итоге такой QR-код может вернуться к клиенту, инициировавшему запрос.
В исследовании Mandiant локальный браузер жертвы представляет собой headless-клиент, управляемый малварью, ранее заразившей устройство. В ходе атаки вредонос перехватывает полученный QR-код и расшифровывает его, чтобы получить дальнейшие инструкции. Proof-of-concept специалистов демонстрирует атаку на последнюю версию Google Chrome, и имплант интегрируется в систему жертвы при помощи Cobalt Strike External C2.
При этом исследователи признают, что эту технику нельзя назвать безупречной. Дело в том, что поток данных будет ограничен максимум 2189 байтами, то есть примерно 74% от максимального объема информации, которую могут содержать QR-коды. Кроме того, пакеты должны быть еще меньше, если у малвари возникнут проблемы с чтением QR-кодов.
Также необходимо учитывать задержку, поскольку каждый запрос занимает порядка 5 секунд. Это ограничивает скорость передачи данных до 438 байт/с, поэтому техника не подходит, например, для отправки больших полезных нагрузок.
Дополнительно отмечается, что в исследовании не учитывались дополнительные меры безопасности, которые в некоторых случаях могут заблокировать подобную атаку или сделать ее неэффективной. К ним относятся проверка репутации домена, сканирование URL, предотвращение потери данных и эвристический анализ запросов.
Тем не менее, метод с QR-кодами все же может применяться на практике. Поэтому администраторам рекомендуется внимательно следить за аномальным трафиком и headless-браузерами, работающими в автоматическом режиме.
