Akademiker från Grekland har tagit fram en ny webb-baserad attack som kan göra det möjligt för hackare att köra skadlig kod i användarnas webbläsare även efter att användare har stängt eller navigerar bort från den sida som de blev smittad.
Denna nya attack, kallas MarioNet, öppnar dörren för montering jätte botnät från användarnas webbläsare. Dessa botnät kan användas för webbläsaren crypto-gruvdrift (cryptojacking), DDoS-attacker, skadliga filer hosting/sharing, distribueras knäcka lösenord, skapa proxy nätverk, klicka på reklam-bedrägeri, och trafikstatistiken öka, forskare säger.
Den MarioNet attack är en uppgradering till ett liknande koncept för att skapa en webb-baserad botnät som beskrevs i Puppetnets uppsats för 12 år sedan, 2007.
Skillnaden mellan de två är att MarioNet kan överleva efter användare stäng flik i webbläsaren eller att flytta bort från webbplatsen värd för den skadliga koden.
Detta är möjligt eftersom moderna webbläsare stöder nu ett nytt API som kallas Service Arbetstagare. Denna mekanism gör att en webbplats för att isolera verksamhet att göra en sida användargränssnitt från verksamheter som hanterar en intensiv beräkningar uppgifter så att webbsidan UI inte frysa vid behandling av stora mängder data.
Tekniskt, Service Arbetstagare är en uppdatering till en äldre API som kallas Web Arbetstagare. Men till skillnad från web workers, en tjänst som arbetare, en gång registrerad och aktiverad, kan leva och kör i sidans bakgrund, utan att kräva att användaren ska fortsätta att surfa via den webbplats som laddas tjänsten arbetstagare.
MarioNet (en smart stavning av “marionett”) tar fördel av de befogenheter som anges av service arbetstagare i moderna webbläsare.
Attacken rutin består av att registrera en tjänst som arbetstagare när användaren hamnar på en angripare-kontrollerad webbplats och sedan missbrukar Tjänsten Arbetstagare SyncManager gränssnitt för att tillhandahålla en tjänst som arbetare vid liv efter användaren navigerar bort.
Attacken är tyst och inte kräver någon typ av interaktion med användaren eftersom webbläsare inte varna eller be om tillstånd innan du registrerar en tjänst som arbetare. Allt som händer under webbläsarens huva som användaren väntar för webbplatsen att ladda, och användare har ingen aning om att webbplatser har registrerat arbetstagare eftersom det inte är någon synlig indikator i alla webbläsare.
Dessutom, en MarioNet attack är också åtskiljas från en attack. Till exempel, angripare kan infektera en användare på En Webbplats, men de senare kontroll av alla arbetstagare från Server B.
Bild: Papadopoulos et al.
Detta gör det möjligt för angripare att placera skadlig kod för en kort tid på högtrafikerade webbplatser, få en stor användarbas, ta bort skadlig kod, men fortsätter att kontrollera infekterade webbläsare från en annan central server.
Dessutom MarioNet attack kan också bestå över webbläsaren startas om genom att utnyttja Web Tryck API. Detta skulle dock kräva att angriparen från att få användarens tillåtelse från den infekterade värdar att få tillgång till detta API.
Den efterföljande botnät som skapats via MarioNet teknik kan sedan användas för olika kriminella strävanden, till exempel i webbläsaren crypto-gruvdrift (cryptojacking), DDoS-attacker, skadliga filer hosting/sharing, distribueras knäcka lösenord, skapa proxy nätverk, klicka på reklam-bedrägeri, och trafik statistik öka.
Varken den ursprungliga MarioNet attack eller senare botnet verksamhet kräver en angripare att utnyttja sårbarheter webbläsare, men bara missbruk befintliga JavaScript-exekvering möjligheter och nya HTML5-Api: er.
Till exempel med hjälp av infekterade MarioNet robotar för file hosting kräver hjälp av inbyggd lagring av data Api: er som redan finns inne webbläsare som låter webbplatser lagra och hämta filer från en användares dator. Detta gör att upptäcka eventuella MarioNet infekterar och efterföljande attacker nästan omöjligt.
Eftersom Tjänsten Arbetstagare har införts för några år tillbaka, MarioNet attack också fungerar i nästan alla stationära och mobila webbläsare. Det enda som var en MarioNet attack kommer inte att fungera är DVS (desktop), Opera Mini (mobil) och Blackberry (mobil).
Bild: Papadopoulos et al.
I sin forskningsrapport, forskning crew beskrivs också metoder genom vilka MarioNet kunde undvika upptäckt av anti-malware webbläsare och anti-utvinning av motåtgärder, och sätter också fram flera begränsande faktorer som webbläsare beslutsfattare kan ta.
Den MarioNet attack kommer att presenteras idag på NDSS 2019-konferensen i San Diego, USA. Mer detaljer om MarioNet finns i ett medföljande uppsats med titeln “Master of Web Dockor: att Missbruka Webbläsare för Långlivade och Smygande Beräkning,” tillgänglig för nedladdning i PDF-format här.
Mer webbläsare täckning:
Google backtracks på Chrome-ändringar som skulle ha lamslagit ad-blockerare
En tredjedel av alla Chrome-tillägg begära att få tillgång till användarnas uppgifter på en webbplats
Microsoft Kanten låter Facebook köra Flash-koden bakom användarnas backsSurveillance fast frågar Mozilla att ingå i Firefox intyg whitelistWindows 10 Tidslinje Chrome extension har precis landat från MicrosoftGoogle arbeta på nya Chrome-säkerhet-funktionen att ” utplåna DOM-XSS’What företag behöver veta om den nya Krom-baserad Edge TechRepublicAd-blockerande Modig får minne fördel jämfört med Chrome på nyheter webbplatser CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter