I codici QR sono in grado di aggirare l’isolamento del browser per eseguire comunicazione C2 malevola.
Mandiant ha identificato un nuovo metodo per aggirare la tecnologia di isolamento del browser e ottenere operazioni di comando e controllo attraverso i codici QR.
“Gli attacchi che sfruttano codici QR per bypassare l’isolamento del browser rappresentano una minaccia sofisticata e in crescita nel panorama della cyber sicurezza”, commenta Sandro Sana, Cybersecurity Division Manager.
Ecco come funzione il proof-of-concept dei ricercatori di Mandiant mitigare il rischio.
L’isolamento del browser è una tecnica di sicurezza sempre più diffusa che instrada tutte le richieste dei browser web locali attraverso browser web remoti ospitati in un ambiente cloud o in macchine virtuali.
Qualsiasi script o contenuto della pagina web visitata ottiene un’esecuzione sul browser remoto anziché su quello locale. Il flusso di pixel renderizzati della pagina subisce quindi il rinvio al browser locale che ha effettuato la richiesta originale, mostrando solo l’aspetto della pagina e proteggendo il dispositivo locale da qualsiasi codice malevolo.
Molti server di comando e controllo sfruttano HTTP per la comunicazione, causando l’isolamento del browser remoto per filtrare il traffico dannoso e . Dunque rendono inefficaci questi modelli di comunicazione.
La nuova tecnica simulata dai ricercatori di Mandiant tenta di aggirare queste restrizioni. Nonostante alcune limitazioni pratiche, dimostra che le protezioni di sicurezza esistenti nei browser sono tutt’altro che perfette. Infatti richiedono strategie di “difesa in profondità” in grado di combinare misure aggiuntive.
“Questo metodo (tramite codici QR per bypassare l’isolamento del browser, ndr) permette di stabilire comunicazioni di comando e controllo (C2) senza passare attraverso i controlli di sicurezza tradizionali, sfruttando l’interazione diretta con dispositivi personali come smartphone”, sottolinea Sandro Sana.
I canali C2 consentono comunicazioni dannose tra gli aggressori e i sistemi compromessi. Offrono agli attori il controllo da remoto del dispositivo violato, oltre alla possibilità di eseguire comandi, esfiltrare dati e altro ancora.
Poiché i browser interagiscono costantemente con server esterni, l’attivazione delle misure di isolamento serve a impedire agli aggressori l’accesso ai dati sensibili del sistema sottostante in ambienti critici per la sicurezza.
Ciò si ottiene eseguendo il browser in un ambiente sandbox separato ospitato nel cloud, in una macchina virtuale locale o in sede.
Quando l’isolamento è attivo, il browser isolato gestisce le richieste HTTP in entrata. E solo il contenuto visivo della pagina viene trasmesso al browser locale. Significa dunque che gli script o i comandi nella risposta HTTP non raggiungono mai l’obiettivo.
Ciò impedisce agli aggressori di accedere direttamente alle risposte HTTP o di iniettare comandi malevoli nel browser, rendendo più difficili le comunicazioni C2 segrete.
I ricercatori di Mandiant hanno ideato la nuova tecnica in grado di aggirare i meccanismi di isolamento esistenti nei browser moderni.
Invece di incorporare i comandi nelle risposte HTTP, l’aggressore li codifica in un codice QR visualizzato su una pagina web. Poiché il rendering visivo di una pagina web non viene eliminato durante le richieste di isolamento del browser, i codici QR sono in grado di tornare al client che ha avviato la richiesta.
“Il problema è amplificato dal fatto che gli utenti sono abituati a scansionare codici QR in contesti quotidiani (pagamenti, accessi rapidi a siti, eventi), abbassando le loro difese e fidandosi di questa tecnologia”, mette in guardia Sandro Sana.
Nello studio di Mandiant, il browser locale della “vittima” è un client headless controllato da un malware che ha precedentemente infettato il dispositivo, che cattura il codice QR recuperato e lo decodifica per ottenere le istruzioni.
Il proof-of-concept di Mandiant dimostra l’attacco alla più recente versione diGoogle Chrome, integrando l’impianto attraverso la funzione External C2 di Cobalt Strike, un kit di pen-testing molto popolare.
Sebbene il PoC dimostri che l’attacco sia fattibile, la tecnica non è impeccabile, tenendo conto dell’applicabilità nel mondo reale.
Innanzitutto, il flusso di dati è limitato a un massimo di 2.189 byte, pari a circa il 74% dei dati massimi che i codici QR possono trasportare. Inoltre, i pacchetti devono diminuire ulteriormente di dimensioni se l’interprete del malware ha problemi a leggere i codici QR.
In secondo luogo, occorre tenere conto della latenza. Infatti ogni richiesta richiede circa 5 secondi. Questo limita la velocità di trasferimento dei dati a circa 438 byte/sec, quindi la tecnica non è adatta per l’invio di payload di grandi dimensioni o per facilitare il proxying Socks.
Infine, Mandiant afferma che il suo studio non ha preso in considerazione misure di sicurezza aggiuntive come:
Sebbene la tecnica C2 basata sul codice QR di Mandiant sia a bassa larghezza di banda, potrebbe comunque essere pericolosa se non viene bloccata.
“Le aziende devono adottare strategie di sicurezza che includano l’analisi delle connessioni avviate tramite QR code e una formazione continua per sensibilizzare gli utenti sui rischi associati”, avverte Sandro Sana.
Inoltre si raccomanda agli amministratori degli ambienti critici di monitorare il traffico anomalo e i browser headless che operano in modalità di automazione.
“Per proteggersi è dunque essenziale adottare soluzioni di sicurezza che monitorino i comportamenti anomali dei dispositivi e promuovere l’utilizzo di browser sicuri anche per le connessioni avviate da mobile”, conclude Sandro Sana: “Infine, diffidare dei QR code non verificati e utilizzare app di scansione che analizzano il contenuto prima di accedere ai link può ridurre il rischio di cadere in queste trappole“.