Mandiant 发现基于二维码的浏览器隔离安全绕过方法 媒体

新的浏览器隔离安全漏洞：Mandiant 使用 QR 码进行命令控制

关键要点

浏览器隔离是一项广泛应用的安全措施，其目的是通过在云端或虚拟机环境中处理网页内容，来确保只显示视觉数据流，从而避免恶意代码在用户系统上执行。此技术通常会阻止 C2 通信，因为 HTTP 基于的流量在远程浏览器隔离过程中被过滤。

Mandiant 的概念验证显示，C2 命令可以用 QR 码编码并显示在网页上。由于在隔离过程中不会去除视觉呈现，这些 QR 码能够到达本地设备。被攻击的设备上运行的 恶意软件 能够捕获并解码这些 QR 码，从而执行命令。Mandiant 的测试成功整合了这一技术，并利用 Cobalt Strike 的外部 C2 特性进行了操作，且其在最新的 Google Chrome 版本上运行。

然而，这种攻击方法也存在限制。根据 Mandiant 的说法，数据流被限制在 2189 字节，考虑到延迟后，数据传输速率约为每秒 438 字节。此外，与域名声誉检查和请求启发式等其他安全措施的相容性进一步限制了该方法在大型有效载荷方面的效率。

在未来的安全防御中，这一创新方法将促使网络安全专家对浏览器隔离技术进行进一步完善，以防止潜在威胁。对于用户而言，增强个人安全意识如定期更新设备和使用多重身份验证，也将有效降低此类攻击的风险。