Menlo Security的研究部門:網(wǎng)絡安全公司Menlo Labs警告HTML走私(HTML smuggling)卷土重來�。這種攻擊是指,惡意威脅分子繞過邊界安全機制����,直接在受害者的機器上組裝惡意負載。
Menlo在公布這則消息的同時還發(fā)現(xiàn)了ISOMorph的HTML走私活動��,這種活動所采用的伎倆與SolarWinds攻擊者在最近的魚叉式網(wǎng)絡釣魚活動中所采用的伎倆一樣�。
ISOMorph攻擊利用HTML走私,在受害者的計算機上實施其第一階段�����。由于它是“走私”的�����,所以釋放器(dropper)實際上在目標計算機上組裝,這使得攻擊可以完全繞過標準的邊界安全機制�。一旦安裝上去,釋放器獲取有效載荷�����,從而使用遠程訪問木馬(RAT)感染計算機����。而RAT讓攻擊者可以控制受感染的機器��,并在受感染的網(wǎng)絡上橫向移動���。
HTML走私的工作原理是����,鉆許多Web瀏覽器中存在的HTML5和java script的基本功能的空子��。該漏洞利用方法的核心涉及兩方面:它使用HTML5下載屬性來下載偽裝成合法文件的惡意文件���,還以一種類似的方式使用java script blob����?梢岳萌魏我环N方式或結(jié)合兩者方式��,用于HTML走私攻擊���。
由于文件在進入到目標計算機之前不會被創(chuàng)建���,網(wǎng)絡安全系統(tǒng)不會將它們視為惡意文件——安全系統(tǒng)看到的只是HTML和java script流量,容易被混淆起來以隱藏惡意代碼�����。
面對廣泛的遠程工作和云托管的日常工作工具——所有這些都是從瀏覽器內(nèi)部訪問的���,HTML混淆問題變得尤為嚴重���。Menlo Labs引用來自Forrester/谷歌的報告的數(shù)據(jù)表示,工作日當中平均75%的時間花在網(wǎng)絡瀏覽器上�,這無異于在公然邀請網(wǎng)絡犯罪分子,尤其是那些懂得鉆安全薄弱的瀏覽器空子的人�。Menlo說:“我們認為攻擊者在使用HTML走私將有效載荷釋放到端點,因為瀏覽器是最薄弱的環(huán)節(jié)之一�,沒有什么網(wǎng)絡解決方案阻止得了��!
由于有效載荷是直接在目標位置的瀏覽器上組裝的,典型的周邊安全和端點監(jiān)控及響應工具幾乎不可能檢測得了�。但這并不是說不可能防御HTML走私攻擊——總部位于英國的網(wǎng)絡安全公司SecureTeam表示,這只是意味著公司需要假設威脅是真實且可能的�����,應基于這個前提來構(gòu)建安全機制�����。
SecureTeam給出了以下建議��,以防范HTML走私及可能輕松突破邊界防御的其他攻擊:
對網(wǎng)絡進行分段�����,以限制攻擊者橫向移動的能力����。
使用Microsoft Windows Attack Surface Reduction之類的服務����,這種服務可以在操作系統(tǒng)層面保護計算機,避免運行惡意腳本和生成不可見的子進程�����。
確保防火墻規(guī)則阻止來自已知惡意域和IP地址的流量。
培訓用戶:Menlo Security描述的攻擊需要用戶交互才能感染機器����,因此確保每個人都知道如何檢測可疑行為和攻擊者技巧。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
