Accademici provenienti da Grecia hanno messo a punto un nuovo browser basato su attacco che può consentire agli hacker di eseguire codice dannoso all’interno del browser degli utenti anche dopo che gli utenti hanno chiuso o si sposta dalla pagina web in cui essi sono stati infettati.
Questo nuovo attacco, chiamato MarioNet, apre la porta per il montaggio gigante botnet da browser degli utenti. Queste le botnet possono essere utilizzate per il browser crypto-mining (cryptojacking), attacchi DDoS, dannoso file hosting/sharing, distributed password cracking, la creazione di proxy reti, pubblicità fare clic su frodi, e di statistiche di traffico per stimolare la, hanno detto i ricercatori.
Il MarioNet attacco è un aggiornamento di un simile concetto di creazione di un browser basato su botnet che è stato descritto nella Puppetnets ricerca di carta 12 anni fa, nel 2007.
La differenza tra i due è che MarioNet in grado di sopravvivere dopo che gli utenti chiudere la scheda del browser o allontanarsi dal sito di hosting il codice dannoso.
Questo è possibile perché il web browser moderni supportano ora una nuova API chiamato gli Operai di Servizio. Questo meccanismo consente a un sito web per isolare le operazioni di rendering di una pagina dell’interfaccia utente e le operazioni di gestire intensa attività computazionali in modo che la pagina web UI non congelare durante l’elaborazione di grandi quantità di dati.
Tecnicamente, gli Operai di Servizio sono un aggiornamento di un vecchio richiamata API Web worker. Tuttavia, a differenza di web lavoratori, un operaio di servizio, una volta registrati e attivati possono vivere e correre nella pagina di sfondo, senza richiedere all’utente di continuare la navigazione attraverso il sito che ha caricato il lavoro del servizio.
MarioNet (un intelligente ortografia di “marionette”) sfrutta i poteri previsti dal servizio dei lavoratori in tutti i browser moderni.
L’attacco di routine consiste nel registrare un operaio di servizio quando l’utente si posiziona su un attaccante sito web controllato e poi abusare di Servizio del Lavoratore SyncManager interfaccia per mantenere il servizio del lavoratore in vita dopo che l’utente si sposta.
L’attacco è silenzioso e non richiede alcun tipo di interazione con l’utente, perché i browser non avvisare gli utenti o chiedere un permesso prima di procedere alla registrazione di un operaio di servizio. Tutto avviene sotto il browser cappuccio come si attende per il sito web di carico, e gli utenti non hanno idea di che i siti web hanno registrato gli operai di servizio come non c’è nessun indicatore visibile in qualsiasi browser web.
Inoltre, un MarioNet attacco è anche disgiunto dal punto di attacco. Per esempio, gli aggressori possono infettare gli utenti su Un Sito web, ma non più tardi di controllo di tutti gli addetti ai servizi dal Server B.
Immagine: Papadopoulos et al.
Questo consente agli aggressori di posto il codice dannoso per un breve periodo di tempo su siti ad alto traffico, ottenere un enorme userbase, rimuovere il codice dannoso, ma continuare a controllare il browser infetti da un altro server centrale.
Inoltre, il MarioNet attacco può anche mantenere il browser si riavvia da un abuso di Web API Push. Tuttavia, questo richiede all’utente malintenzionato di ottenere l’autorizzazione dell’utente dalla host infetti per accedere a questa API.
La successiva botnet creato tramite il MarioNet tecnica può quindi essere utilizzato per vari penale sforzi, come il browser crypto-mining (cryptojacking), attacchi DDoS, dannoso file hosting/sharing, distributed password cracking, la creazione di proxy reti, pubblicità fare clic su frodi, e di statistiche di traffico sostenitore.
Né l’originale MarioNet attacco o la successiva attività di botnet richiedono attaccanti di sfruttare le vulnerabilità dei browser, ma solo l’abuso esistente JavaScript, capacità di esecuzione e le nuove Api HTML5.
Per esempio, utilizzando infetti MarioNet bot per l’hosting di file, è necessario utilizzare built-in di archiviazione dei dati Api già disponibili all’interno del browser che consentono di siti web di memorizzare e recuperare i file dal computer di un utente. Questo rende la rilevazione di qualsiasi MarioNet infetta e successivi attacchi quasi impossibile.
Perché i Lavoratori sono stati introdotti alcuni anni fa, il MarioNet attacco funziona anche in quasi tutti i desktop e browser per dispositivi mobili. Gli unici sono stati un MarioNet attacco non funziona sono IE (desktop), Opera Mini (mobile) e Blackberry (mobile).
Immagine: Papadopoulos et al.
Nel loro documento di ricerca, la ricerca equipaggio vengono inoltre descritti i metodi attraverso i quali MarioNet potrebbe evitare rilevato da anti-malware di estensioni del browser e anti-mining contromisure, e propone anche diverse attenuazioni che i produttori di browser potrebbe prendere.
Il MarioNet attacco sarà presentato oggi presso la NDSS 2019 conferenza a San Diego, USA. Ulteriori dettagli su MarioNet sono disponibili in accompagnamento di un documento di ricerca dal titolo “Master in Web Burattini: un Abuso del Browser Web per la Persistente e Furtivo di Calcolo”, disponibile per il download in formato PDF da qui.
Più browser copertura:
Google ritorna su Chrome modifiche che avrebbe paralizzato annuncio bloccanti
Un terzo di tutte le estensioni di Chrome richiesta di accesso ai dati dell’utente su qualsiasi sito
Microsoft Edge consente a Facebook di esecuzione del codice Flash dietro utenti backsSurveillance impresa di Mozilla chiede di essere incluso in Firefox certificato whitelistWindows 10 Timeline estensione di google Chrome è appena atterrato da MicrosoftGoogle lavoro sul nuovo Chrome funzione di protezione per ‘cancellare DOM XSS’What le imprese hanno bisogno di conoscere il nuovo Cromo-based Bordo TechRepublicdi blocco degli Annunci Coraggioso ottiene memoria vantaggio su Chrome su siti web di notizie CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati