Mandiant a identifié une nouvelle méthode pour contourner la technologie d’isolation du navigateur et réaliser des opérations de commande et de contrôle via des codes QR.
L’isolation du navigateur est une technologie de sécurité de plus en plus populaire qui achemine toutes les demandes de navigateur Web local via des navigateurs Web distants hébergés dans un environnement cloud ou des machines virtuelles.
Tous les scripts ou contenus de la page Web visitée sont exécutés sur le navigateur distant plutôt que sur le navigateur local. Le flux de pixels rendu de la page est ensuite renvoyé au navigateur local qui a effectué la demande d’origine, affichant uniquement à quoi ressemble la page et protégeant l’appareil local de tout code malveillant.
De nombreux serveurs de commande et de contrôle utilisent HTTP pour la communication, ce qui oblige l’isolation du navigateur distant à filtrer le trafic malveillant et rend ces modèles de communication inefficaces.
La nouvelle technique de Mandiant tente de contourner ces restrictions, et bien qu’elle présente certaines limitations pratiques, elle démontre que les protections de sécurité existantes dans les navigateurs sont loin d’être parfaites, appelant à des stratégies de « défense en profondeur » qui combinent des mesures supplémentaires.
Contexte sur C2s et isolation du navigateur
Les canaux C2 permettent des communications malveillantes entre les attaquants et les systèmes compromis, donnant aux acteurs distants le contrôle de l’appareil compromis et la possibilité d’exécuter des commandes, d’exfiltrer des données, etc.
Étant donné que les navigateurs interagissent constamment avec des serveurs externes de par leur conception, des mesures d’isolement sont activées pour empêcher les attaquants d’accéder aux données sensibles sur le système sous-jacent dans des environnements critiques pour la sécurité.
Ceci est réalisé en exécutant le navigateur dans un environnement séparé en bac à sable hébergé sur le cloud, une machine virtuelle locale ou sur site.
Lorsque l’isolation est active, le navigateur isolé gère les requêtes HTTP entrantes et seul le contenu visuel de la page est transmis au navigateur local, ce qui signifie que les scripts ou les commandes de la réponse HTTP n’atteignent jamais la cible.
Cela empêche les attaquants d’accéder directement aux réponses HTTP ou d’injecter des commandes malveillantes dans le navigateur, ce qui rend les communications secrètes C2 plus difficiles.
Astuce de contournement de Mandiant
Les chercheurs de Mandiant ont mis au point une nouvelle technique capable de contourner les mécanismes d’isolement existants dans les navigateurs modernes.
Au lieu d’incorporer des commandes dans les réponses HTTP, l’attaquant les code dans un code QR affiché visuellement sur une page Web. Comme le rendu visuel d’une page Web n’est pas supprimé lors des demandes d’installation du navigateur, les codes QR peuvent être renvoyés au client à l’origine de la demande.
Dans l’étude de Mandiant, le navigateur local de la « victime » est un client sans tête contrôlé par un logiciel malveillant qui a déjà infecté l’appareil, qui capture le code QR récupéré et le décode pour obtenir les instructions.
La preuve de concept de Mandiant démontre l’attaque du dernier navigateur Web Google Chrome, intégrant l’implant via la fonction C2 externe de Cobalt Strike, un kit de test de stylo largement utilisé.
Pas parfait
Bien que le PoC montre que l’attaque est réalisable, la technique n’est pas sans faille, en particulier compte tenu de l’applicabilité dans le monde réel.
Premièrement, le flux de données est limité à un maximum de 2 189 octets, ce qui représente environ 74% du maximum de données que les codes QR peuvent transporter, et la taille des paquets doit diminuer encore plus s’il y a des problèmes de lecture des codes QR sur l’interpréteur du malware.
Deuxièmement, la latence doit être prise en compte, car chaque requête prend environ 5 secondes. Cela limite les débits de transfert de données à environ 438 octets/s, de sorte que la technique n’est pas adaptée à l’envoi de charges utiles importantes ou à la facilitation du proxy SOCKS.
Enfin, Mandiant affirme que son étude n’a pas pris en compte de mesures de sécurité supplémentaires telles que la réputation du domaine, l’analyse des URL, la prévention des pertes de données et l’heuristique des demandes, qui peuvent, dans certains cas, bloquer cette attaque ou la rendre inefficace.
Bien que la technique C2 basée sur le code QR de Mandiant soit à faible bande passante, elle pourrait toujours être dangereuse si elle n’est pas bloquée. Par conséquent, il est recommandé aux administrateurs des environnements critiques de surveiller le trafic anormal et les navigateurs sans tête fonctionnant en mode d’automatisation.