Περιεχόμενα Άρθρου
- Η απομόνωση προγράμματος περιήγησης εκτελεί όλα τα σενάρια σε ένα απομακρυσμένο ή εικονικό περιβάλλον, αλλά οι κωδικοί QR εξακολουθούν να τα καταφέρνουν
- Εάν μια συσκευή έχει μολυνθεί από κακόβουλο λογισμικό, μπορεί να λάβει εντολές μέσω κωδικών QR, καθιστώντας άχρηστη την απομόνωση του προγράμματος περιήγησης
- Η μέθοδος λειτουργεί, αλλά έχει τους περιορισμούς της
Ερευνητές κυβερνοασφάλειας από τη Mandiant ισχυρίζονται ότι ανακάλυψαν έναν νέο τρόπο για να κάνουν κακόβουλο λογισμικό να επικοινωνεί με τους διακομιστές C2 μέσω του προγράμματος περιήγησης, ακόμη και όταν το πρόγραμμα περιήγησης είναι απομονωμένο σε ένα sandbox.
Υπάρχει μια σχετικά νέα μέθοδος προστασίας από κυβερνοεπιθέσεις που μεταδίδονται στον ιστό, που ονομάζεται «απομόνωση προγράμματος περιήγησης». Κάνει το πρόγραμμα περιήγησης του θύματος να επικοινωνεί με άλλο πρόγραμμα περιήγησης, που βρίσκεται σε περιβάλλον cloud ή εικονική μηχανή. Όποιες εντολές εισάγει το θύμα αναμεταδίδονται στο απομακρυσμένο πρόγραμμα περιήγησης και το μόνο που λαμβάνουν σε αντάλλαγμα είναι η οπτική απόδοση της σελίδας. Κώδικας, σενάρια, εντολές, όλα εκτελούνται στην απομακρυσμένη συσκευή.
Κάποιος μπορεί να το σκεφτεί ως περιήγηση στον φακό της κάμερας ενός τηλεφώνου.
Όρια και μειονεκτήματα
Αλλά τώρα, η Mandiant πιστεύει ότι οι διακομιστές C2 (εντολή & έλεγχος) μπορούν ακόμα να μιλήσουν με το κακόβουλο λογισμικό στη μολυσμένη συσκευή, ανεξάρτητα από την αδυναμία εκτέλεσης κώδικα μέσω του προγράμματος περιήγησης, και αυτό είναι – μέσω κωδικών QR. Εάν ένας υπολογιστής έχει μολυνθεί, το κακόβουλο λογισμικό μπορεί να διαβάσει τα εικονοστοιχεία που αποδίδονται στην οθόνη και εάν είναι κωδικός QR, αυτό αρκεί για να κάνει το πρόγραμμα να εκτελέσει διαφορετικές ενέργειες.
Η Mandiant ετοίμασε ένα proof-of-concept (PoC) που δείχνει πώς λειτουργεί η μέθοδος στην πιο πρόσφατη έκδοση του Google Chrome, στέλνοντας το κακόβουλο λογισμικό μέσω της λειτουργίας External C2 του Cobalt Strike.
Η μέθοδος λειτουργεί, αλλά απέχει πολύ από την ιδανική, πρόσθεσαν οι ερευνητές. Δεδομένου ότι η ροή δεδομένων περιορίζεται σε μέγιστο μέγεθος 2.189 byte και δεδομένου ότι υπάρχει καθυστέρηση περίπου 5 δευτερολέπτων, η μέθοδος δεν μπορεί να χρησιμοποιηθεί για την αποστολή μεγάλων ωφέλιμων φορτίων ή για τη διευκόλυνση του διακομιστή μεσολάβησης SOCKS. Επιπλέον, πρόσθετα μέτρα ασφαλείας, όπως η σάρωση URL ή η πρόληψη απώλειας δεδομένων, μπορεί να καταστήσουν αυτή τη μέθοδο εντελώς άχρηστη.
Ωστόσο, υπάρχουν τρόποι κατάχρησης της μεθόδου για την εκτέλεση καταστροφικών επιθέσεων κακόβουλου λογισμικού. Ως εκ τούτου, συνιστάται στις ομάδες IT να παρακολουθούν τη ροή της κυκλοφορίας, ειδικά από προγράμματα περιήγησης χωρίς κεφάλι που εκτελούνται σε λειτουργία αυτοματισμού.
Μέσω BleepingComputer
Μπορεί επίσης να σας αρέσει
Greek Live Channels Όλα τα Ελληνικά κανάλια:
Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση;
Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο.
Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια
Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
