QR kódy: Nová cesta k C2 serverům
Zdroj: Shutterstock
Společnost Mandiant objevila nový a neotřelý způsob, jak obejít technologie izolace prohlížeče a zajistit komunikaci mezi útočníky a kompromitovanými systémy prostřednictvím QR kódů. Tato technika, ačkoliv má svá omezení, poukazuje na nedostatky stávajících bezpečnostních mechanismů a potřebu komplexnějších opatření.
Co je izolace prohlížeče?
Izolace prohlížeče je moderní bezpečnostní technologie, která chrání koncové zařízení před škodlivým kódem. Funguje na principu přesměrování veškerého provozu z lokálního prohlížeče přes vzdálené prohlížeče hostované v cloudu nebo ve virtuálních strojích. Obsah stránek, včetně skriptů, se vykonává ve vzdáleném prostředí a uživateli se zpět do jeho prohlížeče posílá pouze vizuální podoba stránky, tzv. „pixelový proud“.
Tento přístup brání škodlivým kódům, aby přímo ovlivnily lokální systém. Izolace je zvláště užitečná v prostředích s vysokými požadavky na bezpečnost, kde dochází k časté interakci prohlížeče s externími servery.
Command-and-Control servery: Co to je a proč jsou problémem?
C2 (Command-and-Control) servery představují klíčovou součást hackerských kampaní. Umožňují útočníkům komunikovat s kompromitovanými zařízeními, posílat příkazy, exfiltrovat data a vykonávat škodlivé operace. Izolace prohlížeče tuto komunikaci značně komplikuje, protože skripty a příkazy obsažené v HTTP odpovědích nemohou být doručeny přímo do lokálního zařízení.
Jak funguje nový útok s využitím QR kódů?
Tým Mandiant přišel s inovativním způsobem, jak obejít zmíněná omezení. Místo toho, aby příkazy byly zasílány prostřednictvím HTTP odpovědí, jsou zakódovány do QR kódů, které se zobrazují vizuálně na webové stránce. Protože izolace prohlížeče nepřepíná vizuální obsah stránek, QR kódy jsou přeneseny zpět do lokálního zařízení, kde mohou být dešifrovány.
Zdroj: Mandiant
V modelovém scénáři Mandiantu je lokální prohlížeč oběti kontrolován malwarem, který zachytává a dekóduje QR kódy a následně vykonává příkazy zakódované útočníky. Výzkum ukázal, že tento útok je proveditelný i na nejnovějších verzích prohlížečů, například Google Chrome, pomocí běžně zneužívaných nástrojů, jako je Cobalt Strike.
Omezení této techniky
Ačkoliv metoda zní nebezpečně, má několik zásadních omezení:
- Datová velikost: QR kódy mohou přenést maximálně 2 189 bajtů dat, což je omezeno na přibližně 74 % této hodnoty kvůli omezením malwaru při čtení kódu.
- Rychlost přenosu: Každý přenos trvá přibližně 5 sekund, což omezuje rychlost na zhruba 438 bajtů za sekundu. Tato metoda tedy není vhodná pro přenos velkých objemů dat.
- Bezpečnostní mechanismy: Technika nezohledňuje dodatečná bezpečnostní opatření, jako je kontrola reputace domén, skenování URL nebo heuristiky, které mohou útok detekovat a zablokovat.
Zdroje:
