Kỹ thuật C2 mới sử dụng mã QR nhằm bypass tính năng Browser Isolation

Browser Isolation, vốn được xem là một biện pháp an ninh mạng tiên tiến, đã bị khai thác bởi một kỹ thuật mới sử dụng mã QR để thực hiện các hoạt động chỉ huy và kiểm soát (C2). 

Browser Isolation được thiết kế để bảo vệ người dùng khỏi các cuộc tấn công dựa trên web bằng cách cách ly hoạt động duyệt web khỏi thiết bị cục bộ. Phương pháp này thường sử dụng môi trường đám mây hoặc môi trường cục bộ an toàn để xử lý trang web và chỉ truyền các pixel hình ảnh về trình duyệt của người dùng. 

Điều này ngăn chặn các cuộc tấn công thông qua mã độc trực tiếp hoặc giao tiếp qua HTTP giữa phần mềm độc hại và máy chủ C2 (chỉ huy và kiểm soát), nhằm ngăn chặn việc tải nội dung độc hại trực tiếp, bảo vệ người dùng khỏi các trang web lừa đảo hoặc mã độc.

Trong kỹ thuật này, máy chủ C2 của kẻ tấn công tạo ra một trang web chứa mã QR. Khi trình duyệt cô lập xử lý trang web và hiển thị các pixel hình ảnh, phần mềm độc hại trên thiết bị bị xâm nhập sẽ chụp ảnh màn hình mã QR. 

Sau đó, mã QR được giải mã để trích xuất các lệnh điều khiển, giúp phần mềm độc hại thực hiện các hành động như thu thập dữ liệu nhạy cảm hoặc gửi thông tin về máy chủ C2.

Điểm đặc biệt của phương pháp này là tận dụng việc cô lập trình duyệt chỉ truyền dữ liệu hình ảnh, qua đó né tránh các biện pháp ngăn chặn giao tiếp HTTP thông thường.

Dù kỹ thuật này khai thác một điểm yếu, nhưng Browser Isolation vẫn là một biện pháp an ninh mạng hữu ích. Các tổ chức được khuyến nghị không chỉ dựa vào biện pháp này mà cần kết hợp nhiều chiến lược khác, bao gồm:

  • Giám sát lưu lượng mạng: Tìm kiếm các hoạt động bất thường, đặc biệt là các yêu cầu HTTP lặp đi lặp lại với lưu lượng thấp.
  • Phát hiện tự động hóa: Theo dõi các dấu hiệu trình duyệt bị điều khiển tự động, như sử dụng –enable-automation trong Chrome.
  • Phòng thủ chuyên sâu: Kết hợp Browser Isolation với các biện pháp khác để tạo hệ thống phòng thủ nhiều lớp.

Nguồn: Security Online