QR codes สามารถ bypass browser isolation เพื่อใช้ติดต่อกับ C2 Server ที่เป็นอันตรายได้

Mandiant ได้ระบุเทคนิคใหม่ในการ bypass เทคโนโลยี Browser Isolation และสามารถดำเนินการคำสั่ง และควบคุม (C2) ผ่าน QR codes ได้

Browser Isolation เป็นเทคโนโลยีด้านความปลอดภัยที่ได้รับความนิยมมากขึ้นเรื่อย ๆ ซึ่งจะส่ง requests จาก local web browser ทั้งหมดไปยัง remote web browsers ที่โฮสต์บนคลาวด์ หรือ Virtual Machines (VM)

สคริปต์ หรือเนื้อหาบนหน้าเว็บไซต์ที่เยี่ยมชมจะถูกดำเนินการบน remote browser แทนที่จะเป็น local browser จากนั้นสตรีมพิกเซลที่แสดงผลของหน้านั้นจะถูกส่งกลับไปยัง local browser ที่ทำการ requests ในตอนแรก โดยจะแสดงแค่ภาพที่ดูเหมือนเว็บจริง เพื่อป้องกันอุปกรณ์ local จากโค้ดที่เป็นอันตราย

C2 Server จำนวนมากใช้ HTTP ในการติดต่อสื่อสาร ซึ่งทำให้ remote browser isolation สามารถกรองการรับส่งข้อมูลที่เป็นอันตรายออกไป และทำให้รูปแบบการสื่อสารเหล่านี้ไม่มีประสิทธิภาพ

เทคนิคใหม่ของ Mandiant พยายาม bypass ข้อจำกัดเหล่านี้ และแม้ว่าจะมีข้อจำกัดในทางปฏิบัติบางอย่าง แต่ก็แสดงให้เห็นถึงการป้องกันความปลอดภัยที่มีอยู่ในเบราว์เซอร์นั้นยังไม่สมบูรณ์แบ และแนะนำให้ใช้มาตรการ "defense in depth" เพิ่มเติมด้วย

ความเป็นมาเกี่ยวกับ C2s และ Browser isolation

ช่องทาง C2 ช่วยให้เกิดการติดต่อสื่อสารที่เป็นอันตรายระหว่างผู้ไม่หวังดี และระบบที่ถูกโจมตี ซึ่งทำให้ผู้ไม่หวังดีสามารถควบคุมอุปกรณ์ที่ถูกโจมตี และสามารถดำเนินการคำสั่ง, ขโมยข้อมูล และกิจกรรมอื่น ๆ ได้

เนื่องจากเบราว์เซอร์มีการโต้ตอบกับเซิร์ฟเวอร์ภายนอกตลอดเวลาตามการออกแบบ การใช้มาตรการ isolation จึงถูกเปิดใช้งานเพื่อป้องกันไม่ให้ผู้ไม่หวังดีเข้าถึงข้อมูลที่เป็นความลับบนระบบพื้นฐานที่มีความสำคัญ

ซึ่งสามารถทำได้โดยการเรียกใช้เบราว์เซอร์ในโหมดแซนด์บ็อกซ์ที่แยกออกจากกัน ซึ่งมีโฮสต์บนคลาวด์, VM, หรือ on-premises

เมื่อมาตรการ isolation ยังเปิดใช้งานอยู่ browser ที่ถูกแยกออกมาจะจัดการกับคำขอ HTTP ขาเข้า และจะส่งเฉพาะเนื้อหาภาพของหน้าเว็บไปยัง local browser ซึ่งหมายถึง สคริปต์ หรือคำสั่งใน HTTP response จะไปไม่ถึงเป้าหมาย

วิธีการนี้จะบล็อกผู้ไม่หวังดีไม่ให้เข้าถึง HTTP responses โดยตรง หรือแทรกคำสั่งอันตรายเข้าสู่เบราว์เซอร์ ซึ่งทำให้การติดต่อสื่อสารกับ C2 Server ยากขึ้น

เทคนิค bypass ของ Mandiant

นักวิจัยจาก Mandiant ได้คิดค้นเทคนิคใหม่ที่สามารถ bypass การ isolation ที่มีอยู่ในเบราว์เซอร์สมัยใหม่ได้

แทนที่จะฝังคำสั่งใน HTTP responses ผู้ไม่หวังดีจะทำการเข้ารหัสคำสั่งเหล่านั้นใน QR code ที่แสดงบนหน้าเว็บไซต์ เนื่องจากการแสดงผลภาพของหน้าเว็บไซต์จะไม่ถูกลบออกในระหว่างการ isolation บนเบราว์เซอร์ ทำให้ QR code สามารถถูกส่งกลับไปยังเครื่องไคลเอนต์ที่ทำการ requests ในตอนแรกได้

ในการศึกษาของ 'Mandiant' local browser ในเครื่องของเหยื่อเป็นไคลเอนต์แบบ 'headless client' ที่ถูกควบคุมโดยมัลแวร์ที่ได้ติดตั้งไว้ก่อนหน้านี้ โดยจะจับ QR code ที่ดึงมาจากหน้าเว็บ และถอดรหัสเพื่อรับคำสั่ง

การพิสูจน์แนวคิดของ Mandiant แสดงการโจมตีในเบราว์เซอร์ Google Chrome เวอร์ชันล่าสุด โดยการฝังตัวผ่านฟีเจอร์ External C2 ของ Cobalt Strike ซึ่งเป็นเครื่องมือที่ใช้ในการทดสอบการเจาะระบบ (pen-testing) ที่ถูกนำไปใช้อย่างแพร่หลาย

ยังไม่สมบูรณ์แบบ

แม้ว่า PoC จะแสดงให้เห็นถึงเทคนิคการโจมตีที่เป็นไปได้ แต่เทคนิคดังกล่าวยังไม่สมบูรณ์แบบ โดยเฉพาะเมื่อพิจารณาจากการนำไปใช้ในสถานการณ์จริง

เรื่องแรก data stream ถูกจำกัดไว้ที่ขนาดสูงสุด 2,189 ไบต์ ซึ่งประมาณ 74% ของขนาดข้อมูลสูงสุดที่ QR codes สามารถรองรับได้ และแพ็กเก็ตต้องมีขนาดเล็กลงอีกหากมีปัญหาในการอ่าน QR code บนตัวแปลคำสั่งของมัลแวร์

เรื่องที่สอง ต้องคำนึงถึง Latency เนื่องจากแต่ละ requests ใช้เวลาประมาณ 5 วินาที ซึ่งจำกัดอัตราการถ่ายโอนข้อมูลไว้ที่ประมาณ 438 ไบต์/วินาที ดังนั้นเทคนิคนี้จึงไม่เหมาะสมสำหรับการส่งข้อมูลขนาดใหญ่ หรือการใช้งาน SOCKS proxy

สุดท้าย Mandiant ระบุว่าการศึกษาของพวกเขาไม่ได้พิจารณาจากมาตรการด้านความปลอดภัยเพิ่มเติม เช่น การตรวจสอบชื่อโดเมน, การสแกน URL, การป้องกันการสูญหายของข้อมูล และการวิเคราะห์พฤติกรรมของ requests ซึ่งในบางกรณีอาจช่วยบล็อกการโจมตีนี้ หรือทำให้มันไม่ได้ผล

แม้ว่าการใช้เทคนิค C2 แบบ QR code ของ Mandiant จะใช้แบนด์วิธที่ต่ำ แต่ก็อาจเป็นอันตรายหากไม่ได้ทำการบล็อก ดังนั้นผู้ดูแลระบบจึงควรตรวจสอบ traffic ที่ผิดปกติ และเบราว์เซอร์แบบ headless ที่ทำงานในโหมดอัตโนมัติ

ที่มา : bleepingcomputer