Οι κωδικοί QR αποφεύγουν κακόβουλη επικοινωνία C2

Η Mandiant έχει εντοπίσει μια νέα μέθοδο για να παρακάμψει την τεχνολογία απομόνωσης του προγράμματος περιήγησης και να επιτύχει λειτουργίες εντολών και ελέγχου μέσω κωδικών QR.

Η απομόνωση προγράμματος περιήγησης είναι μια ολοένα και πιο δημοφιλής τεχνολογία ασφαλείας που δρομολογεί όλα τα τοπικά αιτήματα προγράμματος περιήγησης ιστού μέσω απομακρυσμένων προγραμμάτων περιήγησης ιστού που φιλοξενούνται σε περιβάλλον cloud ή εικονικές μηχανές.

Οποιαδήποτε σενάρια ή περιεχόμενο στην ιστοσελίδα που επισκεφτήκατε εκτελούνται στο απομακρυσμένο πρόγραμμα περιήγησης και όχι στο τοπικό. Η αποδοθείσα ροή εικονοστοιχείων της σελίδας στη συνέχεια αποστέλλεται πίσω στο τοπικό πρόγραμμα περιήγησης που έκανε το αρχικό αίτημα, εμφανίζοντας μόνο την εμφάνιση της σελίδας και προστατεύοντας την τοπική συσκευή από κακόβουλο κώδικα.

Πολλοί διακομιστές εντολών και ελέγχου χρησιμοποιούν το HTTP για επικοινωνία, προκαλώντας απομόνωση απομακρυσμένου προγράμματος περιήγησης για να φιλτράρει την κακόβουλη κίνηση και καθιστώντας αυτά τα μοντέλα επικοινωνίας αναποτελεσματικά.

Η νέα τεχνική του Mandiant επιχειρεί να παρακάμψει αυτούς τους περιορισμούς, και παρόλο που έχει ορισμένους πρακτικούς περιορισμούς, καταδεικνύει ότι οι υπάρχουσες προστασίες ασφαλείας στα προγράμματα περιήγησης δεν είναι καθόλου τέλειες, απαιτώντας στρατηγικές «άμυνας σε βάθος» που συνδυάζουν πρόσθετα μέτρα.

Φόντο για C2s και απομόνωση προγράμματος περιήγησης

Τα κανάλια C2 επιτρέπουν κακόβουλες επικοινωνίες μεταξύ εισβολέων και παραβιασμένων συστημάτων, δίνοντας στους απομακρυσμένους παράγοντες τον έλεγχο της παραβιασμένης συσκευής και τη δυνατότητα εκτέλεσης εντολών, διείσδυσης δεδομένων και πολλά άλλα.

Επειδή τα προγράμματα περιήγησης αλληλεπιδρούν συνεχώς με εξωτερικούς διακομιστές από τη σχεδίασή τους, ενεργοποιούνται μέτρα απομόνωσης για να αποτρέψουν τους εισβολείς από την πρόσβαση σε ευαίσθητα δεδομένα στο υποκείμενο σύστημα σε κρίσιμα για την ασφάλεια περιβάλλοντα.

Αυτό επιτυγχάνεται με την εκτέλεση του προγράμματος περιήγησης σε ένα ξεχωριστό περιβάλλον sandbox που φιλοξενείται στο cloud, σε μια τοπική εικονική μηχανή ή σε εσωτερικό χώρο.

Όταν η απομόνωση είναι ενεργή, το απομονωμένο πρόγραμμα περιήγησης χειρίζεται εισερχόμενα αιτήματα HTTP και μόνο το οπτικό περιεχόμενο της σελίδας μεταδίδεται στο τοπικό πρόγραμμα περιήγησης, πράγμα που σημαίνει ότι τα σενάρια ή οι εντολές στην απόκριση HTTP δεν φτάνουν ποτέ στον στόχο.

Αυτό εμποδίζει τους εισβολείς να έχουν άμεση πρόσβαση στις αποκρίσεις HTTP ή να εισάγουν κακόβουλες εντολές στο πρόγραμμα περιήγησης, καθιστώντας τις κρυφές επικοινωνίες C2 πιο δύσκολες.

Το κόλπο παράκαμψης του Mandiant

Mandiant ερευνητές έχουν επινόησε μια νέα τεχνική που μπορεί να παρακάμψει τους υπάρχοντες μηχανισμούς απομόνωσης στα σύγχρονα προγράμματα περιήγησης.

Αντί να ενσωματώνει εντολές σε αποκρίσεις HTTP, ο εισβολέας τις κωδικοποιεί σε έναν κώδικα QR που εμφανίζεται οπτικά σε μια ιστοσελίδα. Καθώς η οπτική απόδοση μιας ιστοσελίδας δεν αφαιρείται κατά τη διάρκεια αιτημάτων απομόνωσης του προγράμματος περιήγησης, οι κωδικοί QR μπορούν να την επαναφέρουν στον πελάτη που εκκινεί το αίτημα.

Στη μελέτη του Mandiant, το τοπικό πρόγραμμα περιήγησης του «θύματος» είναι ένας ακέφαλος πελάτης που ελέγχεται από κακόβουλο λογισμικό που έχει μολύνει προηγουμένως τη συσκευή, το οποίο καταγράφει τον ανακτημένο κωδικό QR και τον αποκωδικοποιεί για να λάβει τις οδηγίες.

Το proof-of-concept του Mandiant καταδεικνύει την επίθεση στο πιο πρόσφατο πρόγραμμα περιήγησης Google Chrome, ενσωματώνοντας το εμφύτευμα μέσω της λειτουργίας External C2 του Cobalt Strike, ενός κιτ δοκιμής στυλό που χρησιμοποιείται ευρέως.

Όχι τέλεια

Ενώ το PoC δείχνει ότι η επίθεση είναι εφικτή, η τεχνική δεν είναι άψογη, ειδικά αν ληφθεί υπόψη η δυνατότητα εφαρμογής στον πραγματικό κόσμο.

Πρώτον, η ροή δεδομένων περιορίζεται σε μέγιστο 2.189 byte, που είναι περίπου το 74% των μέγιστων δεδομένων που μπορούν να μεταφέρουν οι κωδικοί QR και τα πακέτα πρέπει να μειωθούν ακόμη περισσότερο σε μέγεθος εάν υπάρχουν προβλήματα με την ανάγνωση των κωδικών QR στον διερμηνέα του κακόβουλου λογισμικού .

Δεύτερον, πρέπει να ληφθεί υπόψη η καθυστέρηση, καθώς κάθε αίτημα διαρκεί περίπου 5 δευτερόλεπτα. Αυτό περιορίζει τους ρυθμούς μεταφοράς δεδομένων σε περίπου 438 bytes/sec, επομένως η τεχνική δεν είναι κατάλληλη για την αποστολή μεγάλων ωφέλιμων φορτίων ή τη διευκόλυνση του SOCKS proxy.

Τέλος, η Mandiant λέει ότι η μελέτη της δεν εξέτασε πρόσθετα μέτρα ασφαλείας όπως η φήμη τομέα, η σάρωση URL, η πρόληψη απώλειας δεδομένων και τα ευρετικά αιτήματα, που ενδέχεται, σε ορισμένες περιπτώσεις, να αποκλείσουν αυτήν την επίθεση ή να την καταστήσουν αναποτελεσματική.

Αν και η τεχνική C2 της Mandiant που βασίζεται σε κώδικα QR είναι χαμηλό εύρος ζώνης, θα μπορούσε να είναι επικίνδυνη αν δεν αποκλειστεί. Επομένως, συνιστάται στους διαχειριστές σε κρίσιμα περιβάλλοντα να παρακολουθούν για μη φυσιολογική κίνηση και προγράμματα περιήγησης χωρίς κεφάλι που λειτουργούν σε λειτουργία αυτοματισμού.