发布日期:2026-01-27 12:48 点击次数:62
浏览器终止是一种日益流行的安全时间,它通过云环境或造谣机中托管的辛劳 Web 浏览器路由通盘土产货 Web 浏览器肯求,所造访网页上的任何剧本或内容王人在辛劳浏览器而不是土产货浏览器上实施。
然后,页面的渲染像素流被发送回发出原始肯求的土产货浏览器,仅线路页面的外不雅并保护土产货建造免受任何坏心代码的侵害。好多号召和规模劳动器哄骗 HTTP 进行通讯,导致辛劳浏览器终止以过滤坏心流量,并使这些通讯模子无效。
Mandiant 发现了一种绕过浏览器终止时间并通过 QR 码杀青号召和规模操作的新花式,Mandiant 的新时间试图绕过这些死心,尽管它有一些本色死心,但它标明浏览器中现存的安全保护还远远不够完好意思,需要连续特等门径的"纵深防卫"计谋。
C2 和浏览器终止的布景
C2 通说念搭救挫折者和受感染系统之间的坏心通讯,使辛劳挫折者粗略规模受破损的建造以及实施号召、窃取数据等。由于浏览器在策画上握住与外部劳动器交互,因此会激活终止门径,以驻防挫折者在安全关键环境中造访底层系统上的敏锐数据。
这是通过在云表、土产货造谣机或土产货托管的单独沙盒环境中运转浏览器来杀青的。当终止处于行径景色时,终止的浏览器会管束传入的 HTTP 肯求,而况只须页面的可视内容会流式传输到土产货浏览器,这意味着 HTTP 反馈中的剧本或号召经久不会到达目标。
这会不容挫折者平直造访 HTTP 反馈或向浏览器注入坏心号召,从而使磨灭的 C2 通讯变得愈加贫寒。
浏览器终止抽象
Mandiant 的绕行手段
Mandiant 推敲东说念主员策画了一种新时间,不错绕过当代浏览器中现存的终止机制。挫折者不是将号召镶嵌到 HTTP 反馈中,而是将它们编码在网页上直不雅线路的二维码中。
由于在浏览器终止肯求时候网页的视觉渲染不会被剥离,因此二维码粗略将其复返给发起肯求的客户端。在 Mandiant 的推敲中,"受害者"的土产货浏览器是一个无头客户端,由之前感染过该建造的坏心软件规模,该客户端会拿获检索到的二维码并对其进行解码以取得教导。
使用二维码绕过浏览器终止
Mandiant 的主见考证演示了对最新 Google Chrome 相聚浏览器的挫折,通过 Cobalt Strike 的外部 C2 功能(一种肤浅花费的笔测试器具包)集成植入体式。
固然 PoC 线路挫折是可行的,但该时间并非尽善尽好意思,超越是谈判到践诺全国的适用性。
最初,数据流的最大大小被死心为 2,189 字节,苟简是 QR 码不错佩戴的最大数据的 74%,如若在坏心软件的解说器上读取 QR 码时出现问题,则数据包的大小需要进一步减小。 其次,需要谈判蔓延,因为每个肯求苟简需要 5 秒。这将数据传输速度死心为苟简 438 字节 / 秒,因此该时间不适当发送大负载或促进 SOCKS 代理。
终末,Mandiant 暗示,其推敲莫得谈判特等的安全门径,举例域名信誉、URL 扫描、数据丢失防护和肯求启发式开云kaiyun,这些门径在某些情况下可能会不容这种挫折或使其无效。尽管 Mandiant 基于 QR 码的 C2 时间的带宽较低,但如若不被不容,它仍然可能很危境。