Menlo Security 剛剛對 HTML Smuggling(又稱 ISOMorph)攻擊進行了評估,發現它可以繞過一些網絡安全技術(比如過時的代理或沙箱功能),將惡意文件傳輸給用戶。據說該惡意威脅利用了新穎的攻擊手段,以將危險的有效負載直接注入受害者的網絡瀏覽器。
技術分析
Menlo Security 指出:HTML Smuggling 是一套相當複雜的技術,其利用了 JavaScript 在 HTML 頁面上創建惡意負載,而不是發送 HTPP 請求來獲取 Web 服務器上的資源。
需要指出的是,這不該歸咎於瀏覽器技術本身的漏洞或設計缺陷,因為 Web 開發者也經常通過該工具來優化文件的下載。
執行流程
ISOMorph 攻擊者使用 JavaScript 代碼,直接在瀏覽器中創建有效負載。首先是創建一個元素“a”,接着在 blob 上設置 HREF,並且編寫了點擊以開始下載的操作。
一旦將有效負載下載到了終端設備上,用戶必須手動打開,攻擊者才會得逞(執行惡意軟件)。
代碼示例
為繞過各種網絡安全檢測機制,比如沙箱、舊代理、以及防火牆,攻擊者還利用了瀏覽器無法阻止來自網絡解決方案的有效載荷這一漏洞。
由於有效載荷直接內置於目標瀏覽器中,傳統的安全解決方案幾乎對它沒轍。
VirusTotal 追蹤截圖
SecureTeam 指出,儘管第一反應是禁用 JavaScript,但此舉明顯矯枉過正,因為許多合法 Web 應用程序和系統也在使用這項技術。
當然,防範 HTML 攻擊並不難,SecureTeam 的建議是採用更智能的網絡安全設計,包括由各種技術來構建的多層“深度防禦”環境。
那樣即使外界的惡意軟件無法滲透網絡邊界,內網的其它防禦測試也能夠對相關感染進行檢測和治理。