Academici uit Griekenland hebben bedacht een nieuwe browser-gebaseerde aanval die kunnen hackers om kwaadaardige code uitvoeren in de browser van de gebruiker, zelfs nadat gebruikers hebben gesloten of verlaten van de webpagina waarop ze besmet raakte.
Deze nieuwe aanval, genaamd MarioNet, opent de deur voor de montage van giant botnets uit de browser van de gebruiker. Deze botnets worden gebruikt voor de in-browser crypto-mijnbouw (cryptojacking), DDoS-aanvallen, kwaadaardige bestanden hosting/delen, verspreide wachtwoord kraak, het maken van proxy netwerken, reclame-klik-fraude en verkeer statistieken stimuleren, onderzoekers gezegd.
De MarioNet-aanval is een upgrade naar een vergelijkbaar concept van het creëren van een browser-based botnet, dat werd beschreven in de Puppetnets research paper 12 jaar geleden, in 2007.
Het verschil tussen de twee is dat MarioNet kunnen overleven nadat de gebruiker de browser sluit tabblad of verder weg van de hosting van de website van de schadelijke code.
Dit is mogelijk omdat de moderne web browsers ondersteunen nu een nieuwe API genoemd dienstverleners. Dit mechanisme maakt het mogelijk een website te isoleren bedrijfsactiviteiten die het renderen van een pagina van de gebruikersinterface van handelingen voor het verwerken van intense rekenkundige taken, zodat de webpagina UI niet bevriezen bij de verwerking van grote hoeveelheden data.
Technisch dienstverleners zijn met een update naar een oudere API genaamd Web Workers. Echter, in tegenstelling tot web workers, een service werknemer, eenmaal geregistreerd en geactiveerd, kunnen leven en in de pagina ‘ s achtergrond, zonder dat de gebruiker in staat om verder te bladeren door de site die het laden van de service werknemer.
MarioNet (een slimme spelling van “marionette”) maakt gebruik van de bevoegdheden die dienst werknemers in moderne browsers.
De aanval routine bestaat uit het registreren van een service werknemer wanneer de gebruiker landt op een aanvaller-gestuurde website en vervolgens misbruik maken van de Service Werknemer SyncManager interface om de service werknemer in leven na de gebruiker weg.
De aanval is stil en vereist geen type van interactie van de gebruiker, omdat browsers niet om de gebruikers te waarschuwen of om toestemming vragen voordat u een service werknemer. Alles gebeurt onder het browser kap als de gebruiker wacht op de website in te laden, en gebruikers hebben geen idee dat websites zijn geregistreerde service-werknemers als er geen zichtbare indicator in elke web browser.
Bovendien, een MarioNet aanval is ook los van de punt van de aanval. Bijvoorbeeld aanvallers kunnen infecteren gebruikers op Een Website, maar ze later de controle van alle werknemers in dienst van de Server B.
Afbeelding: Papadopoulos et al.
Dit biedt aanvallers de mogelijkheid om de plaats van schadelijke code voor een korte periode van tijd op high-traffic websites, krijgen een enorme userbase, verwijderen van de kwaadaardige code, maar blijven aan de controle van de geïnfecteerde browsers van andere centrale server.
Daarnaast is de MarioNet-aanval kan ook blijvend zijn browser opnieuw opgestart door misbruik te maken van de Web Push API. Echter, dit zou betekenen dat de aanvaller aan de gebruiker toestemming heeft van de geïnfecteerde hosts om toegang te krijgen tot deze API.
De volgende botnet gecreëerd via de MarioNet techniek kan vervolgens worden gebruikt voor de verschillende criminele inspanningen, zoals in-browser crypto-mijnbouw (cryptojacking), DDoS-aanvallen, kwaadaardige bestanden hosting/delen, verspreide wachtwoord kraak, het maken van proxy netwerken, reclame-klik-fraude en verkeer statistieken stimuleren.
Noch de oorspronkelijke MarioNet aanval of de latere botnet operaties vereisen dat de aanvallers te exploiteren browser kwetsbaarheden, maar slechts misbruik van de bestaande uitvoering van JavaScript-mogelijkheden en nieuwe HTML5 Api ‘ s.
Bijvoorbeeld, het gebruik van besmette MarioNet bots voor file hosting vereist het gebruik van built-in data storage-Api ‘ s al beschikbaar in browsers die websites laten opslaan en ophalen van bestanden vanaf de computer van een gebruiker. Dit maakt het opsporen van een MarioNet infecteert en de daaropvolgende aanvallen bijna onmogelijk.
Omdat de Werknemers zijn introduceerde een paar jaar terug, de MarioNet aanval werkt ook in bijna alle desktop en mobiele browsers. De enigen waren een MarioNet aanval niet zal werken zijn IE (desktop), Opera Mini (mobiel) en Blackberry (mobiel).
Afbeelding: Papadopoulos et al.
In hun onderzoek papier, het onderzoek van de bemanning ook beschreven methoden die MarioNet kan voorkomen dat gedetecteerd door andere anti-malware browser-extensies en anti-mijnbouw tegenmaatregelen, en ook stelt een aantal oplossingen die in de browser makers zou kunnen nemen.
De MarioNet aanval zal worden vandaag gepresenteerd op de NDSS 2019 conferentie in San Diego, USA. Meer details over de MarioNet zijn beschikbaar in een begeleidende research paper getiteld “Meester van het Web Poppen: Misbruik maken van Web Browsers voor Permanente en Sluipende Berekening,” beschikbaar voor download in PDF-formaat hier.
Meer browser dekking:
Google gaat op Chrome wijzigingen die zou hebben verminkt, ad blockers
Een derde van alle Chrome-extensies verzoek toegang tot de gegevens van de gebruiker op enige site
Microsoft Rand laat Facebook Flash code achter de gebruikers backsSurveillance bedrijf vraagt Mozilla om te worden opgenomen in Firefox certificaat whitelistWindows 10 Tijdlijn Chrome-extensie is net geland vanuit MicrosoftGoogle werken aan nieuwe Chrome security functie te ‘vernietigen DOM XSS Wat ondernemingen moet weten over het nieuwe Chroom-gebaseerd Rand TechRepublicAd-blocking Dappere krijgt geheugen voordeel ten opzichte van Chrome op nieuws websites CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters