Menlo Security对HTML Smuggling(又名ISOMorph)攻击进行了评估,发现可能会绕过某些网络安全技术(如旧代理或沙箱功能)向用户传输恶意文件。
据说该恶意威胁利用了新颖的攻击手段,以将危险的有效负载直接注入受害者的网络浏览器。技术分析
Menlo Security指出:HTML Smuggling 是一套相当复杂的技术,其利用了 JavaScript 在 HTML 页面上创建恶意负载,而不是发送 HTPP 请求来获取 Web 服务器上的资源。
需要指出的是,这不该归咎于浏览器技术本身的漏洞或设计缺陷,因为 Web 开发者也经常通过该工具来优化文件的下载。
执行流程
ISOMorph 攻击者使用 JavaScript 代码,直接在浏览器中创建有效负载。首先是创建一个元素“a”,接着在 blob 上设置 HREF,并且编写了点击以开始下载的操作。
一旦将有效负载下载到了终端设备上,用户必须手动打开,攻击者才会得逞(执行恶意软件)。
代码示例
为绕过各种网络安全检测机制,比如沙箱、旧代理、以及防火墙,攻击者还利用了浏览器无法阻止来自网络解决方案的有效载荷这一漏洞。
由于有效载荷直接内置于目标浏览器中,传统的安全解决方案几乎对它没辙。
VirusTotal追踪截图
SecureTeam指出,尽管第一反应是禁用 JavaScript,但此举明显矫枉过正,因为许多合法 Web 应用程序和系统也在使用这项技术。
当然,防范 HTML 攻击并不难,SecureTeam 的建议是采用更智能的网络安全设计,包括由各种技术来构建的多层“深度防御”环境。
那样即使外界的恶意软件无法渗透网络边界,内网的其它防御测试也能够对相关感染进行检测和治理。