|
|
|
|
公众号矩阵

HTML走私是你要担心的最新的网络犯罪伎俩

很难逮住这些走私者,因为他们在滥用Web浏览器的一个基本要素,这让他们可以在端点处组装代码,从而绕过边界安全机制。

作者:布加迪来源:51CTO|2021-08-04 07:30

【51CTO.com快译】Menlo Security的研究部门:网络安全公司Menlo Labs警告HTML走私(HTML smuggling)卷土重来。这种攻击是指,恶意威胁分子绕过边界安全机制,直接在受害者的机器上组装恶意负载。

Menlo在公布这则消息的同时还发现了ISOMorph的HTML走私活动,这种活动所采用的伎俩与SolarWinds攻击者在最近的鱼叉式网络钓鱼活动中所采用的伎俩一样。

ISOMorph攻击利用HTML走私,在受害者的计算机上实施其第一阶段。由于它是“走私”的,所以释放器(dropper)实际上在目标计算机上组装,这使得攻击可以完全绕过标准的边界安全机制。一旦安装上去,释放器获取有效载荷,从而使用远程访问木马(RAT)感染计算机。而RAT让攻击者可以控制受感染的机器,并在受感染的网络上横向移动。

HTML走私的工作原理是,钻许多Web浏览器中存在的HTML5和JavaScript的基本功能的空子。该漏洞利用方法的核心涉及两方面:它使用HTML5下载属性来下载伪装成合法文件的恶意文件,还以一种类似的方式使用JavaScript blob。可以利用任何一种方式或结合两者方式,用于HTML走私攻击。

由于文件在进入到目标计算机之前不会被创建,网络安全系统不会将它们视为恶意文件——安全系统看到的只是HTML和JavaScript流量,容易被混淆起来以隐藏恶意代码。

面对广泛的远程工作和云托管的日常工作工具——所有这些都是从浏览器内部访问的,HTML混淆问题变得尤为严重。Menlo Labs引用来自Forrester/谷歌的报告的数据表示,工作日当中平均75%的时间花在网络浏览器上,这无异于在公然邀请网络犯罪分子,尤其是那些懂得钻安全薄弱的浏览器空子的人。Menlo说:“我们认为攻击者在使用HTML走私将有效载荷释放到端点,因为浏览器是最薄弱的环节之一,没有什么网络解决方案阻止得了。”

由于有效载荷是直接在目标位置的浏览器上组装的,典型的周边安全和端点监控及响应工具几乎不可能检测得了。但这并不是说不可能防御HTML走私攻击——总部位于英国的网络安全公司SecureTeam表示,这只是意味着公司需要假设威胁是真实且可能的,应基于这个前提来构建安全机制。

SecureTeam给出了以下建议,以防范HTML走私及可能轻松突破边界防御的其他攻击:

  • 对网络进行分段,以限制攻击者横向移动的能力。
  • 使用Microsoft Windows Attack Surface Reduction之类的服务,这种服务可以在操作系统层面保护计算机,避免运行恶意脚本和生成不可见的子进程。
  • 确保防火墙规则阻止来自已知恶意域和IP地址的流量。
  • 培训用户:Menlo Security描述的攻击需要用户交互才能感染机器,因此确保每个人都知道如何检测可疑行为和攻击者技巧。

原文标题:HTML smuggling is the latest cybercrime tactic you need to worry about,作者:Brandon Vigliarolo

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. 鸿蒙官方战略合作共建——HarmonyOS技术社区
  2. 华为云数据库技术创新,支撑梦饷集团电商平台稳定高效交易
  3. 人工智能技术在预测学领域的应用
  4. 代码智能技术如何应用到日常开发?
  5. 什么是无嵌码的主动式监测?提升用户体验背后的技术探索
  6. AR与VR技术的五种超能力
【责任编辑:华轩 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月获赞

订阅专栏+更多

带你轻松入门 RabbitMQ

带你轻松入门 RabbitMQ

轻松入门RabbitMQ
共4章 | loong576

32人订阅学习

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

12人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

41人订阅学习

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微