Исследователи раскрыли бэкдор в защите браузеров от атаки с помощью QR-кодов

Изоляция браузера становится всё более популярной технологией безопасности, которая направляет все локальные запросы через удалённые веб-браузеры, размещённые в облачной среде или на виртуальных машинах. Таким образом, любые скрипты или содержимое на посещаемой веб-странице выполняются удалённо. Затем визуализированный поток пикселей страницы отправляется обратно в локальный браузер, который сделал исходный запрос, отображая только то, как выглядит страница, и защищая локальное устройство от вредоносного кода. Многие серверы управления и контроля используют HTTP, чтобы фильтровать вредоносный трафик.

В Mandiant смогли обойти эти ограничения. Метод компании использует QR-коды для передачи команд. Визуальное отображение QR-кода на странице проходит через изоляцию браузера, позволяя вредоносному ПО на заражённом устройстве считывать и декодировать его содержимое.

Эксперты смогли успешно обойти защиту на актуальной версии Google Chrome. Исследователи использовали Cobalt Strike, популярный инструмент для тестирования на проникновение, чтобы реализовать эту атаку.

Однако у метода есть и ограничения. Так, размер данных, передаваемых через QR-коды, ограничен до 2 189 байт, что усложняет передачу больших объёмов информации. Кроме того, наблюдается высокая задержка между запросами — около 438 байт в секунду. Это делает технику непригодной для масштабных атак.

Наконец, работу метода можно заблокировать путём проверки репутации доменов, сканирования URL и предотвращения утечек данных.

Тем не менее, администраторам критически важных систем порекомендовали внимательно следить за аномальным трафиком и использовать защитные механизмы для обнаружения автоматизированных браузеров в сети.