新型攻击技术曝光：通过二维码实现命令与控制操作

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

Mandiant技术公司最近发现了一种新型攻击手段，该手段能够绕过浏览器隔离技术，并通过二维码实现命令与控制（C2）操作。

浏览器隔离是一种日益受到青睐的安全技术，它通过将所有本地Web浏览器请求重定向到云环境或虚拟机中托管的远程Web浏览器来执行。这样，访问的网页上的所有脚本或内容都在远程浏览器上执行，而不是在本地浏览器上。然后，页面的渲染像素流被发送回请求的本地浏览器，仅显示页面的外观，从而保护本地设备不受任何恶意代码的影响。

许多C2服务器通过HTTP进行通信，而远程浏览器隔离能够过滤恶意流量，使得这些通信模式失效。Mandiant公司发现的新技术试图绕过这些限制，尽管存在一些实际限制，但它揭示了浏览器中现有的安全保护措施并非完美，需要采取“防御性多层次”策略，并结合其他措施。

C2通道允许攻击者与受损系统之间进行恶意通信，使远程黑客能够控制被侵入的设备，执行命令、泄露数据等。由于浏览器本质上需要不断地与外部服务器交互，因此在安全关键环境中会启用隔离措施，以防止攻击者访问底层系统上的敏感数据。这是通过在云端、本地虚拟机或本地环境中运行浏览器的独立沙箱环境来实现的。

当隔离处于激活状态时，隔离的浏览器处理传入的HTTP请求，仅将页面的可视内容流式传输到本地浏览器，这意味着HTTP响应中的脚本或命令永远不会到达目标设备。这阻止了攻击者直接访问HTTP响应或将恶意命令注入浏览器，使得秘密的C2通信变得更加困难。

攻击者不是将命令嵌入HTTP响应中，而是将它们编码到网页上可视地显示的二维码中。由于在浏览器隔离请求期间不会删除网页的可视渲染，因此二维码能够返回到发起请求的客户端。

在Mandiant的研究中，"受害者"的本地浏览器是由之前感染了设备的恶意软件控制的无头客户端，它会捕获检索到的二维码并对其进行解码以获取指示。

尽管概念验证表明这种攻击是可行的，但这种技术并不完美，尤其是考虑到实际应用性。首先，数据流的最大限制是2189字节，大约为二维码可以携带的最大数据的74%，如果在恶意软件解释器上读取二维码时存在问题，则数据包的大小还需要进一步减少。其次，需要考虑延迟问题，每个请求需要大约5秒。这将限制数据传输速率约为438字节/秒，因此这种技术不适合发送大容量荷载或支持SOCKS代理。最后，Mandiant表示其研究未考虑领域声誉、URL扫描、数据丢失预防和请求启发式等其他安全措施，这些措施可能会在某些情况下阻止此攻击或使其无效。

尽管Mandiant基于二维码的C2技术是低带宽的，但如果未经阻止仍然可能带来危险。因此，建议在关键环境中的管理员监测异常流量和以自动化模式运行的浏览器。

来源：https://www.bleepingcomputer.com/news/security/qr-codes-bypass-browser-isolation-for-malicious-c2-communication/

新势力车企：

特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯......

外资传统主流车企代表:

大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚......

内资传统主流车企：

吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用......

全球领先一级供应商：

博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、......

二级供应商(500+以上)：

Upstream、ETAS、Synopsys、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、软安科技、浙江大学......

更多文章

不要错过哦，这可能是汽车网络安全产业最大的专属社区！

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议