查看: 1101|回复: 2
收起左侧

[安全行业] ISOMorph攻击可绕过浏览器防护并利用JS代码传递恶意文件

[复制链接]
朦胧的风
发表于 2021-7-31 21:29:47 | 显示全部楼层 |阅读模式
Menlo Security 刚刚对 HTML Smuggling(又称 ISOMorph)攻击进行了评估,发现它可以绕过一些网络安全技术(比如过时的代{过}{滤}理或沙箱功能),将恶意文件传输给用户。据说该恶意威胁利用了新颖的攻击手段,以将危险的有效负载直接注入受害者的网络浏览器。

5eb7292c7f9b98e.png
技术分析

Menlo Security 指出:HTML Smuggling 是一套相当复杂的技术,其利用了 JavaScript 在 HTML 页面上创建恶意负载,而不是发送 HTPP 请求来获取 Web 服务器上的资源。

需要指出的是,这不该归咎于浏览器技术本身的漏洞或设计缺陷,因为 Web 开发者也经常通过该工具来优化文件的下载。

566540c3d56f698.png
执行流程

ISOMorph 攻击者使用 JavaScript 代码,直接在浏览器中创建有效负载。首先是创建一个元素“a”,接着在 blob 上设置 HREF,并且编写了点击以开始下载的操作。

一旦将有效负载下载到了终端设备上,用户必须手动打开,攻击者才会得逞(执行恶意软件)。

ef1c8e2549fa08b.png
代码示例

为绕过各种网络安全检测机制,比如沙箱、旧代{过}{滤}理、以及防火墙,攻击者还利用了浏览器无法阻止来自网络解决方案的有效载荷这一漏洞。

由于有效载荷直接内置于目标浏览器中,传统的安全解决方案几乎对它没辙。

03be0d779cb979f.png
VirusTotal 追踪截图

SecureTeam 指出,尽管第一反应是禁用 JavaScript,但此举明显矫枉过正,因为许多合法 Web 应用程序和系统也在使用这项技术。

当然,防范 HTML 攻击并不难,SecureTeam 的建议是采用更智能的网络安全设计,包括由各种技术来构建的多层“深度防御”环境。

那样即使外界的恶意软件无法渗透网络边界,内网的其它防御测试也能够对相关感染进行检测和治理。

https://www.cnbeta.com/articles/tech/1160341.htm
sevenday
发表于 2021-7-31 21:47:24 | 显示全部楼层
完全看不懂
aphorism
发表于 2021-8-1 11:20:00 | 显示全部楼层
个人用户如何防范?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 05:30 , Processed in 0.117074 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表