Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Вредоносная кампания Duri обходит сетевые решения безопасности

20/08/20

hack9-Aug-20-2020-09-19-36-90-AMИсследователи безопасности компании Menlo Security рассказали о новой вредоносной кампании, в ходе которой злоумышленники используют техники HTML smuggling и BLOB-объекты для загрузки вредоносного ПО в обход решений безопасности.

В ходе кампании, получившей название Duri, используется метод BLOB-объектов JavaScript, генерирующий вредоносные файлы в браузере, что позволяет избегать обнаружения песочницами и прокси.

"Работа традиционных сетевых решений безопасности наподобие межсетевых экранов, прокси-серверов и песочниц основывается на передаче объектов по проводам. К примеру, песочница может извлекать передаваемые по проводам файловые объекты, такие как .exe, .zip и другие подозрительные объекты, и отправлять на обезвреживание", - пишут исследователи.

Однако в ходе Duri киберпреступники используют технику под названием HTML smuggling, представляющую собой комбинацию JavaScript, HTML5 и data: URL. Техника позволяет генерировать полезную нагрузку "на лету" и загружать файлы непосредственно из браузера. Другими словами, вся полезная нагрузка собирается на стороне клиента (браузера), поэтому никакие объекты не отправляются в песочницу для проверки.

Когда пользователь нажимает на предоставленную злоумышленником ссылку, через многочисленные переадресации он оказывается на HTML-странице на duckdns.org. Эта страница запускает JavaScript-код для генерирования BLOB-объекта из закодированной с помощью base64 переменной, содержащейся внутри скрипта.

ZIP-файл генерируется из одного только JavaScript-кода. В конце выполнения скрипт запускает загрузку архива в браузере. В ZIP-архиве содержится полезная нагрузка - MSI-файл.

Темы:УгрозыHTML

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...