Новости Вредоносная кампания Duri обходит сетевые решения безопасности

Ахилл

Профессионал
Ветеран пробива
Private Club
Старожил
️Платиновый меценат💰️💰️💰️💰️
Регистрация
27/7/18
Сообщения
3.851
Репутация
15.431
Реакции
23.684
RUB
0
Сделок через гаранта
16
Злоумышленники генерируют полезную нагрузку прямиком в браузере.

Исследователи безопасности компании Menlo Security о новой вредоносной кампании, в ходе которой злоумышленники используют техники HTML smuggling и BLOB-объекты для загрузки вредоносного ПО в обход решений безопасности.

В ходе кампании, получившей название Duri, используется метод BLOB-объектов JavaScript, генерирующий вредоносные файлы в браузере, что позволяет избегать обнаружения песочницами и прокси.

"Работа традиционных сетевых решений безопасности наподобие межсетевых экранов, прокси-серверов и песочниц основывается на передаче объектов по проводам. К примеру, песочница может извлекать передаваемые по проводам файловые объекты, такие как .exe, .zip и другие подозрительные объекты, и отправлять на обезвреживание", - пишут исследователи.

Однако в ходе Duri киберпреступники используют технику под названием HTML smuggling, представляющую собой комбинацию JavaScript, HTML5 и data: URL. Техника позволяет генерировать полезную нагрузку "на лету" и загружать файлы непосредственно из браузера. Другими словами, вся полезная нагрузка собирается на стороне клиента (браузера), поэтому никакие объекты не отправляются в песочницу для проверки.

Когда пользователь нажимает на предоставленную злоумышленником ссылку, через многочисленные переадресации он оказывается на HTML-странице на duckdns.org. Эта страница запускает JavaScript-код для генерирования BLOB-объекта из закодированной с помощью base64 переменной, содержащейся внутри скрипта.

ZIP-файл генерируется из одного только JavaScript-кода. В конце выполнения скрипт запускает загрузку архива в браузере. В ZIP-архиве содержится полезная нагрузка - MSI-файл.
 
Сверху Снизу