Akademikere fra Grækenland har udtænkt en ny browser-baserede angreb, der kan tillade en hacker at afvikle skadelig kode inde i brugernes browsere, selv efter brugere, der har lukket eller er gået væk fra den web-side, hvor de er blevet smittet.
Dette nye angreb, kaldet MarioNet, åbner døren til samling af gigantiske botnet fra brugernes browsere. Disse botnet kan anvendes til in-browser crypto-mining (cryptojacking), DDoS-angreb, skadelige filer hosting/deling, fordelt password cracking, at skabe proxy-netværk, annoncering klik-svindel, og trafik statistik fremme, siger forskerne.
Det MarioNet angreb er en opgradering til et lignende koncept om at skabe en browser-baseret botnet, der var beskrevet i Puppetnets forskning papir 12 år siden, i 2007.
Forskellen mellem de to er, at MarioNet kan overleve efter brugere, skal du lukke browseren tab eller bevæge sig væk fra hjemmesiden hosting skadelig kode.
Dette er muligt, fordi moderne web-browsere understøtter nu en ny API-kaldet Service Arbejdstagere. Denne mekanisme tillader en hjemmeside at isolere operationer at gøre en side brugergrænseflade fra operationer, der håndterer intens beregningsmæssige opgaver, således at den web side UI ikke fryse ved behandling af store mængder data.
Teknisk Service Arbejdstagere, der er en opdatering ud til en ældre API kaldet Web Arbejdstagere. Men i modsætning til web workers, en service medarbejder, når du er registreret og aktiveret, kan live og køre i den side, der er baggrunden, uden at det kræver brugeren til at fortsætte med at browse gennem det websted, der har lagt service arbejdstager.
MarioNet (en klog stavemåde af “marionet”) tager fordel af de gennemførelsesbeføjelser, der er fastsat af service arbejdstagere i det moderne browsere.
Angrebet rutine består i at registrere en service arbejdstager, når brugeren lander på en angriber-kontrollerede hjemmeside, og derefter misbruger Tjenesten Arbejdstager SyncManager interface til at holde service arbejdstager i live, efter at brugeren navigerer væk.
Angrebet er lydløs og ikke kræver nogen form for bruger-interaktion, fordi browsere ikke advare brugerne, eller bede om tilladelse, før du registrerer en service medarbejder. Alt sker under browserens hood som brugeren venter på hjemmesiden til at indlæse, og brugere har ingen anelse om, at hjemmesider har registreret service arbejdstagere, så der er ingen synlig indikator for, i hvilken som helst web browser.
Desuden er der en MarioNet angreb er også usammenhængende fra punkt for angreb. For eksempel, angribere kan inficere brugere på En Hjemmeside, men de senere kontrol af alle service-arbejdere fra Server B.
Billede: Papadopoulos et al.
Dette gør det muligt for angribere at placere skadelig kode i en kort periode af tid på stærkt trafikerede websites, få en enorm userbase, fjerne den skadelige kode, men fortsætte med at kontrollere inficerede browsere fra en anden central server.
Hertil kommer, at den MarioNet angreb kan også fortsætter på tværs af browseren genstartes ved at misbruge Web Skubbe API. Dette ville imidlertid kræve, at angriberen fra at få brugerens tilladelse fra den inficerede værter til at få adgang til denne API.
Den efterfølgende botnet, der er oprettet via MarioNet teknik, kan derefter bruges til forskellige kriminelle bestræbelser, som i browser-crypto-mining (cryptojacking), DDoS-angreb, skadelige filer hosting/deling, fordelt password cracking, at skabe proxy-netværk, annoncering klik-svindel, og trafik stats styrke.
Hverken den oprindelige MarioNet angreb eller den efterfølgende botnet operationer kræver, at angriberne skal udnytte browser sårbarheder, men blot misbrug eksisterende udførelse af JavaScript kapaciteter og nye HTML5-Api ‘ er.
For eksempel, ved hjælp af inficerede MarioNet bots til fil-hosting kræver brug af indbygget data storage-Api ‘ er, der allerede er til rådighed inde i browsere, som lader hjemmesider gemme og hente filer fra en brugers computer. Dette gør at opdage eventuelle MarioNet inficerer og efterfølgende angreb næsten umuligt.
Fordi Service Arbejdstagere, som har været indført for et par år tilbage, MarioNet angreb også arbejder i næsten alle stationære og mobile browsere. De eneste, der blev en MarioNet angreb vil ikke arbejde, der er IE (desktop), Opera Mini (mobil), og Blackberry (mobil).
Billede: Papadopoulos et al.
I deres forskning papir, forskning besætningen også beskriver de metoder, gennem hvilken MarioNet kunne undgå opdaget af anti-malware-browser udvidelser og anti-mining modforanstaltninger, og stiller desuden flere afhjælpninger, at browser-producenter kunne tage.
Det MarioNet angreb vil blive præsenteret i dag på NDSS 2019-konferencen i San Diego, USA. Flere detaljer om MarioNet findes i et ledsagende forskning papir med titlen “Master of Web Dukker: Misbruger Web-Browsere til Vedvarende og Snigende Beregning,” til rådighed for download i PDF-format her.
Mere browser dækning:
Google backtracks på Chrome ændringer, der ville have lammet ad-blokkere,
En tredjedel af alle Chrome-udvidelser anmode om adgang til brugerens data på et websted
Microsoft Kant lader Facebook køre Flash-kode bag brugernes backsSurveillance firma spørger Mozilla til at indgå i Firefox ‘ s certifikat whitelistWindows 10 Tidslinje udvidelse i Chrome, har netop landet fra MicrosoftGoogle arbejder på nye Chrome sikkerhed funktion at ‘udslette DOM XSS’What virksomheder har brug for at vide om den nye Chrom-baseret Kant TechRepublicAd-blokering Modige får hukommelse fordel i forhold til Chrome på nyheder hjemmesider CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre