Códigos QR evitan el aislamiento del navegador para la comunicación C2 maliciosa

Iniciado por AXCESS, Diciembre 08, 2024, 05:44:22 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Mandiant ha identificado un nuevo método para eludir la tecnología de aislamiento del navegador y lograr operaciones de comando y control a través de códigos QR.

El aislamiento del navegador es una tecnología de seguridad cada vez más popular que enruta todas las solicitudes del navegador web local a través de navegadores web remotos alojados en un entorno de nube o máquinas virtuales.

Todos los scripts o contenidos de la página web visitada se ejecutan en el navegador remoto en lugar de en el local. El flujo de píxeles renderizado de la página se envía luego de vuelta al navegador local que realizó la solicitud original, mostrando solo el aspecto de la página y protegiendo el dispositivo local de cualquier código malicioso.

Muchos servidores de comando y control utilizan HTTP para la comunicación, lo que hace que el aislamiento del navegador remoto filtre el tráfico malicioso y haga que estos modelos de comunicación sean ineficaces.

La nueva técnica de Mandiant intenta eludir estas restricciones y, aunque tiene algunas limitaciones prácticas, demuestra que las protecciones de seguridad existentes en los navegadores están lejos de ser perfectas, por lo que se requieren estrategias de "defensa en profundidad" que combinen medidas adicionales.

Antecedentes sobre los C2 y el aislamiento del navegador

Los canales C2 permiten comunicaciones maliciosas entre atacantes y sistemas comprometidos, lo que les da a los actores remotos el control sobre el dispositivo vulnerado y la capacidad de ejecutar comandos, exfiltrar datos y más.

Debido a que los navegadores interactúan constantemente con servidores externos por diseño, se activan medidas de aislamiento para evitar que los atacantes accedan a datos confidenciales en el sistema subyacente en entornos críticos para la seguridad.

Esto se logra ejecutando el navegador en un entorno aislado separado alojado en la nube, una máquina virtual local o en las instalaciones.

Cuando el aislamiento está activo, el navegador aislado maneja las solicitudes HTTP entrantes y solo el contenido visual de la página se transmite al navegador local, lo que significa que los scripts o comandos en la respuesta HTTP nunca llegan al destino.

Esto impide que los atacantes accedan directamente a las respuestas HTTP o inyecten comandos maliciosos en el navegador, lo que dificulta las comunicaciones encubiertas de C2.

Descripción general del aislamiento del navegador
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El truco de Mandiant para eludir los mecanismos de aislamiento existentes en los navegadores modernos

Los investigadores de Mandiant han ideado una nueva técnica que puede eludir los mecanismos de aislamiento existentes en los navegadores modernos.

En lugar de incorporar comandos en las respuestas HTTP, el atacante los codifica en un código QR que se muestra visualmente en una página web. Como la representación visual de una página web no se elimina durante las solicitudes de aislamiento del navegador, los códigos QR pueden llegar al cliente que inició la solicitud.

En el estudio de Mandiant, el navegador local de la "víctima" es un cliente sin interfaz gráfica controlado por malware que ha infectado previamente el dispositivo, que captura el código QR recuperado y lo decodifica para obtener las instrucciones.

La prueba de concepto de Mandiant demuestra el ataque al último navegador web Google Chrome, integrando el implante a través de la función External C2 de Cobalt Strike, un kit de prueba de penetración ampliamente utilizado.



No es perfecto

Si bien la prueba de concepto muestra que el ataque es factible, la técnica no es perfecta, especialmente si se considera su aplicabilidad en el mundo real.

En primer lugar, el flujo de datos está limitado a un máximo de 2189 bytes, que es aproximadamente el 74 % de los datos máximos que pueden transportar los códigos QR, y los paquetes deben reducirse aún más si hay problemas para leer los códigos QR en el intérprete del malware.

En segundo lugar, se debe tener en cuenta la latencia, ya que cada solicitud demora aproximadamente 5 segundos. Esto limita las tasas de transferencia de datos a aproximadamente 438 bytes/seg, por lo que la técnica no es adecuada para enviar grandes cargas útiles o facilitar el proxy SOCKS.

Finalmente, Mandiant dice que su estudio no consideró medidas de seguridad adicionales como reputación de dominio, escaneo de URL, prevención de pérdida de datos y heurística de solicitud, que pueden, en algunos casos, bloquear este ataque o hacerlo ineficaz.

Aunque la técnica C2 basada en códigos QR de Mandiant tiene un ancho de banda bajo, aún podría ser peligrosa si no se bloquea. Por lo tanto, se recomienda a los administradores en entornos críticos que monitoreen el tráfico anormal y los navegadores sin interfaz gráfica que operan en modo de automatización.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta