Izolacja przeglądarki. Mechanizm działania i wyzwania
Izolacja przeglądarki to mechanizm mający na celu ochronę systemów przed zagrożeniami wynikającymi z odwiedzania niebezpiecznych stron internetowych. Polega na przekierowaniu lokalnych żądań przeglądarki do zdalnych środowisk, takich jak maszyny wirtualne czy chmura obliczeniowa. W ten sposób wszelkie potencjalnie szkodliwe skrypty uruchamiane są w odseparowanym środowisku, a użytkownik lokalny otrzymuje jedynie obraz strony w formie strumienia pikseli.
Dzięki temu rozwiązaniu złośliwe skrypty czy inne elementy nie mają bezpośredniego dostępu do lokalnego systemu. Przeglądarka zdalna obsługuje żądania HTTP i w ten sposób chroni przed możliwością przejęcia danych lub zainfekowania urządzenia. Tego rodzaju izolacja jest coraz częściej wykorzystywana w środowiskach, gdzie bezpieczeństwo systemów ma kluczowe znaczenie. Jednak nawet najlepsze zabezpieczenia mają swoje ograniczenia, co udowodnił zespół Mandiant, pokazując, jak można obejść te mechanizmy.
Wykorzystanie kodów QR w nowatorskim podejściu Mandiant
Zamiast umieszczać polecenia w odpowiedziach HTTP, co jest blokowane przez mechanizmy izolacji, badacze Mandiant zastosowali kody QR jako nośnik poleceń. Kody te są wyświetlane na stronie internetowej w postaci graficznej, co sprawia, że są one przesyłane do użytkownika bez żadnych zmian. Ponieważ przeglądarka izolowana nie ingeruje w renderowanie obrazu strony, kody QR są odbierane przez lokalną przeglądarkę, która następnie je dekoduje.W zaprezentowanym dowodzie koncepcji atakujący wykorzystuje wcześniej zainfekowane złośliwym oprogramowaniem urządzenie. Zainstalowany na nim bezgłowy klient odczytuje kod QR i realizuje polecenia zapisane w jego strukturze. Cały proces jest zautomatyzowany i opiera się na popularnym narzędziu External C2 wchodzącym w skład zestawu Cobalt Strike, który jest często nadużywany przez cyberprzestępców.
Techniczne ograniczenia nowej metody Choć metoda przedstawiona przez Mandiant jest przełomowa, ma pewne wady techniczne. Maksymalny rozmiar danych, które można przesłać za pomocą jednego kodu QR, wynosi 2189 bajtów. W praktyce jednak przesyłane pakiety muszą być jeszcze mniejsze, aby uniknąć problemów z ich odczytaniem przez złośliwe oprogramowanie.
Dodatkowo proces dekodowania kodów QR wiąże się z opóźnieniami. Każde żądanie trwa około 5 sekund, co ogranicza przepustowość do 438 bajtów na sekundę. Z tego względu technika nie nadaje się do przesyłania dużych ilości danych ani do bardziej zaawansowanych działań, takich jak tunelowanie proxy SOCKS.
Badanie Mandiant nie uwzględniało także dodatkowych mechanizmów ochrony, takich jak analiza reputacji domen, heurystyka czy systemy zapobiegania utracie danych. Zastosowanie takich środków mogłoby w wielu przypadkach wykryć i zablokować tego typu atak.
Wnioski dla specjalistów ds. cyberbezpieczeństwa
Metoda opracowana przez Mandiant pokazuje, że nawet zaawansowane systemy zabezpieczeń, takie jak izolacja przeglądarek, mogą zostać ominięte. Mimo technicznych ograniczeń tej techniki jej istnienie przypomina o konieczności stosowania wielowarstwowego podejścia do ochrony systemów.Specjaliści odpowiedzialni za bezpieczeństwo powinni zwracać szczególną uwagę na ruch sieciowy, zwłaszcza w przypadku środowisk o wysokiej wrażliwości na ataki. Monitorowanie nietypowych żądań oraz aktywności przeglądarek działających w trybie automatyzacji może pomóc w wykrywaniu takich zagrożeń na wczesnym etapie.
Chociaż kody QR nie stanowią jeszcze powszechnego narzędzia ataków, ich zastosowanie w kontekście technologii C2 udowadnia, że zagrożenia w cyberprzestrzeni ewoluują, a zabezpieczenia muszą być regularnie aktualizowane i rozwijane.
