A Mandiant identificou um método inovador para contornar a tecnologia de isolamento de navegador e realizar operações de comando e controle através de códigos QR.
O isolamento de navegador é uma tecnologia de segurança cada vez mais popular que direciona todas as solicitações locais do navegador da web através de navegadores remotos hospedados em um ambiente de nuvem ou máquinas virtuais.
Qualquer script ou conteúdo na página web visitada é executado no navegador remoto em vez do local.
A transmissão de pixels renderizados da página é então enviada de volta ao navegador local que fez a solicitação original, exibindo apenas a aparência da página e protegendo o dispositivo local de qualquer código malicioso.
Muitos servidores de comando e controle utilizam HTTP para comunicação, fazendo com que o isolamento de navegador remoto filtre o tráfego malicioso e torne esses modelos de comunicação ineficazes.
A nova técnica da Mandiant tenta contornar essas restrições e, embora tenha algumas limitações práticas, demonstra que as proteções de segurança existentes em navegadores estão longe de serem perfeitas, exigindo estratégias de "defesa em profundidade" que combinem medidas adicionais.
Canais C2 permitem comunicações maliciosas entre atacantes e sistemas comprometidos, dando aos atores remotos controle sobre o dispositivo violado e a capacidade de executar comandos, exfiltrar dados e mais.
Como os navegadores constantemente interagem com servidores externos por design, medidas de isolamento são ativadas para impedir que atacantes acessem dados sensíveis no sistema subjacente em ambientes críticos de segurança.
Isso é alcançado executando o navegador em um ambiente sandbox separado hospedado na nuvem, uma máquina virtual local ou no local.
Quando o isolamento está ativo, o navegador isolado lida com as solicitações HTTP recebidas, e apenas o conteúdo visual da página é transmitido ao navegador local, o que significa que scripts ou comandos na resposta HTTP nunca chegam ao alvo.
Isso bloqueia os atacantes de acessar diretamente as respostas HTTP ou injetar comandos maliciosos no navegador, tornando as comunicações C2 encobertas mais difíceis.
Pesquisadores da Mandiant idealizaram uma nova técnica que pode contornar os mecanismos de isolamento existentes nos navegadores modernos.
Em vez de embutir comandos nas respostas HTTP, o atacante os codifica em um código QR exibido visualmente em uma página da web.
Como a renderização visual de uma página da web não é removida durante as solicitações de isolamento de navegador, os códigos QR conseguem retornar ao cliente que iniciou a solicitação.
No estudo da Mandiant, o navegador local do "vítima" é um cliente headless controlado por malware que infectou previamente o dispositivo, que captura o código QR recuperado e o decodifica para obter as instruções.
A prova de conceito da Mandiant demonstra o ataque no navegador web Google Chrome mais recente, integrando o implante através da funcionalidade External C2 do Cobalt Strike, um kit de teste de penetração amplamente abusado.
Embora o PoC mostre que o ataque é viável, a técnica não é perfeita, especialmente considerando a aplicabilidade no mundo real.
Primeiramente, o fluxo de dados está limitado a um máximo de 2.189 bytes, que é aproximadamente 74% do máximo que os códigos QR podem carregar, e os pacotes precisam diminuir ainda mais em tamanho se houver problemas na leitura dos códigos QR no intérprete do malware.
Segundo, a latência precisa ser levada em conta, uma vez que cada solicitação leva aproximadamente 5 segundos.
Isso limita as taxas de transferência de dados para cerca de 438 bytes/seg, então a técnica não é adequada para enviar grandes payloads ou facilitar o proxying SOCKS.
Finalmente, a Mandiant diz que seu estudo não considerou medidas de segurança adicionais como reputação de domínio, escaneamento de URL, prevenção de perda de dados e heurísticas de solicitação, que podem, em alguns casos, bloquear esse ataque ou torná-lo ineficaz.
Embora a técnica C2 baseada em códigos QR da Mandiant seja de baixa largura de banda, ela ainda pode ser perigosa se não for bloqueada.
Portanto, recomenda-se que administradores em ambientes críticos monitorem o tráfego anormal e navegadores headless operando em modo de automação.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...