Mandiant社は、ブラウザ分離技術をバイパスし、QRコードを通じてコマンド・アンド・コントロール操作を実現する新しい手法を特定しました。
ブラウザの分離は、クラウド環境や仮想マシンにホストされたリモート・ウェブ・ブラウザを経由して、ローカル・ウェブ・ブラウザのリクエストをすべてルーティングする、ますます一般的になっているセキュリティ技術です。
訪問したウェブページ上のスクリプトやコンテンツは、ローカル・ブラウザではなくリモート・ブラウザ上で実行されます。その後、ページのレンダリングされたピクセルストリームは、元のリクエストを行ったローカルブラウザに送り返され、ページの外観のみが表示され、悪意のあるコードからローカルデバイスを保護する。
多くのコマンド&コントロール・サーバーは通信にHTTPを利用しているため、リモート・ブラウザの分離が悪意のあるトラフィックをフィルタリングする原因となり、これらの通信モデルは効果がない。
Mandiantによる新しいテクニックはこのような制限を回避しようとするもので、現実的な限界はあるものの、ブラウザの既存のセキュリティ保護が完全とは言い難いことを実証しており、追加的な対策を組み合わせた「深層防御」戦略の必要性を訴えています。
C2とブラウザ分離の背景
C2チャンネルは攻撃者と侵害されたシステムとの間で悪意のある通信を可能にし、遠隔の行為者に侵害されたデバイスをコントロールさせ、コマンドの実行やデータの流出などを可能にします。
ブラウザは設計上、常に外部サーバとやりとりするため、セキュリティ・クリティカルな環境では、攻撃者が基礎となるシステム上の機密データにアクセスするのを防ぐために隔離対策が有効化されます。
これは、クラウド、ローカル仮想マシン、またはオンプレミスでホストされる個別のサンドボックス環境でブラウザを実行することで実現されます。
分離が有効な場合、分離されたブラウザーはHTTPリクエストの受信を処理し、ページのビジュアル・コンテンツのみがローカル・ブラウザーにストリーミングされます。
これにより攻撃者がHTTPレスポンスに直接アクセスしたり、ブラウザに悪意のあるコマンドを注入したりすることがブロックされ、秘密のC2通信がより困難になります。
マンディアント
マンディアントのバイパス・トリック
Mandiantの研究者は最新のブラウザの既存の隔離メカニズムをバイパスする新しいテクニックを考案しました。
HTTPレスポンスにコマンドを埋め込む代わりに、攻撃者はウェブページに視覚的に表示されるQRコードにコマンドをエンコードします。ブラウザの分離リクエスト中にウェブページの視覚的なレンダリングが除去されないため、QRコードはリクエストを開始したクライアントに戻ることができる。
Mandiantの研究では、”被害者 “のローカルブラウザは、デバイスに感染したマルウェアによって制御されるヘッドレスクライアントであり、取得したQRコードをキャプチャし、それをデコードしてインストラクションを取得します。
ソースはこちら:Mandiant
Mandiantの概念実証では、最新のGoogle Chromeウェブ・ブラウザを使った攻撃が実証されており、広く利用されているペンテスト・キットであるCobalt Strikeの外部C2機能を使ってインプラントを統合している。
完全ではない
このPoCは攻撃が実現可能であることを示しているが、特に実世界での適用可能性を考慮すると、このテクニックは完璧ではない。
第一に、データ・ストリームは最大2,189バイトに制限されており、これはQRコードが伝送できる最大データのおよそ74%である。マルウェアのインタープリターでQRコードを読み取る際に問題があれば、パケットはさらにサイズを落とす必要がある。
第二に、各リクエストに約5秒かかるため、待ち時間を考慮する必要がある。このため、データ転送速度は約438バイト/秒に制限され、この手法は大きなペイロードの送信やSOCKSプロキシの促進には適していない。
最後に、Mandiant社によると、この研究では、ドメインレピュテーション、URLスキャン、データ損失防止、リクエストヒューリスティックなどの追加のセキュリティ対策は考慮されていない。
Mandiant社のQRコードベースのC2テクニックは低帯域幅ですが、それでもブロックされなければ危険です。したがって、重要な環境の管理者は、異常なトラフィックや自動化モードで動作するヘッドレスブラウザを監視することをお勧めします。
The post QRコードがブラウザの分離を回避して悪意のあるC2通信を行う first appeared on PRSOL:CC.