最新的網(wǎng)絡(luò)犯罪伎倆:HTML走私���,你需要注意了
2021年08月07日
Menlo Security的研究部門:網(wǎng)絡(luò)安全公司Menlo Labs警告HTML走私(HTML smuggling)卷土重來��。這種攻擊是指����,惡意威脅分子繞過邊界安全機(jī)制���,直接在受害者的機(jī)器上組裝惡意負(fù)載�。
Menlo在公布這則消息的同時(shí)還發(fā)現(xiàn)了ISOMorph的HTML走私活動(dòng)��,這種活動(dòng)所采用的伎倆與SolarWinds攻擊者在最近的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)中所采用的伎倆一樣���。
ISOMorph攻擊利用HTML走私���,在受害者的計(jì)算機(jī)上實(shí)施其第一階段����。由于它是“走私”的���,所以釋放器(dropper)實(shí)際上在目標(biāo)計(jì)算機(jī)上組裝�,這使得攻擊可以完全繞過標(biāo)準(zhǔn)的邊界安全機(jī)制�����。一旦安裝上去�����,釋放器獲取有效載荷���,從而使用遠(yuǎn)程訪問木馬(RAT)感染計(jì)算機(jī)�。而RAT讓攻擊者可以控制受感染的機(jī)器��,并在受感染的網(wǎng)絡(luò)上橫向移動(dòng)��。
HTML走私的工作原理是,鉆許多Web瀏覽器中存在的HTML5和JavaScript的基本功能的空子�����。該漏洞利用方法的核心涉及兩方面:它使用HTML5下載屬性來下載偽裝成合法文件的惡意文件�����,還以一種類似的方式使用JavaScript blob����??梢岳萌魏我环N方式或結(jié)合兩者方式,用于HTML走私攻擊�。
由于文件在進(jìn)入到目標(biāo)計(jì)算機(jī)之前不會(huì)被創(chuàng)建,網(wǎng)絡(luò)安全系統(tǒng)不會(huì)將它們視為惡意文件——安全系統(tǒng)看到的只是HTML和JavaScript流量�,容易被混淆起來以隱藏惡意代碼。
面對(duì)廣泛的遠(yuǎn)程工作和云托管的日常工作工具——所有這些都是從瀏覽器內(nèi)部訪問的�����,HTML混淆問題變得尤為嚴(yán)重��。Menlo Labs引用來自Forrester/谷歌的報(bào)告的數(shù)據(jù)表示�,工作日當(dāng)中平均75%的時(shí)間花在網(wǎng)絡(luò)瀏覽器上,這無異于在公然邀請網(wǎng)絡(luò)犯罪分子�����,尤其是那些懂得鉆安全薄弱的瀏覽器空子的人。Menlo說:“我們認(rèn)為攻擊者在使用HTML走私將有效載荷釋放到端點(diǎn)����,因?yàn)闉g覽器是最薄弱的環(huán)節(jié)之一,沒有什么網(wǎng)絡(luò)解決方案阻止得了�����?����!?/span>
由于有效載荷是直接在目標(biāo)位置的瀏覽器上組裝的����,典型的周邊安全和端點(diǎn)監(jiān)控及響應(yīng)工具幾乎不可能檢測得了。但這并不是說不可能防御HTML走私攻擊——總部位于英國的網(wǎng)絡(luò)安全公司SecureTeam表示�����,這只是意味著公司需要假設(shè)威脅是真實(shí)且可能的�����,應(yīng)基于這個(gè)前提來構(gòu)建安全機(jī)制。
SecureTeam給出了以下建議���,以防范HTML走私及可能輕松突破邊界防御的其他攻擊:
對(duì)網(wǎng)絡(luò)進(jìn)行分段��,以限制攻擊者橫向移動(dòng)的能力�����。
使用Microsoft Windows Attack Surface Reduction之類的服務(wù)��,這種服務(wù)可以在操作系統(tǒng)層面保護(hù)計(jì)算機(jī),避免運(yùn)行惡意腳本和生成不可見的子進(jìn)程��。
確保防火墻規(guī)則阻止來自已知惡意域和IP地址的流量��。
培訓(xùn)用戶:Menlo Security描述的攻擊需要用戶交互才能感染機(jī)器����,因此確保每個(gè)人都知道如何檢測可疑行為和攻擊者技巧。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
