上网威胁日益严重,有些企业会采用远端浏览器隔离(Remote Browser Isolation,RBI)系统,将威胁隔离在远端的伺服器,使得用户装置能够得到保护,这种看似能够「隔岸观火」的防护机制,如今有新的手法能够突破,对使用者电脑进行渗透。
资安业者Mandiant找到一种方法,那就是利用带有QR Code的网页来传递C2的命令,从而在无需建立正常C2连线的情况下,达到远端控制的目的。
【攻击与威胁】
为了避免员工上网遭到恶意网站感染,有些企业会采用远端浏览器隔离(Remote Browser Isolation,RBI)系统,这种机制通常在云端伺服器或是虚拟机器执行浏览器,然后在网页显示的内容,借由影像的串流机制传送到使用者电脑,而能够将使用者装置与外部威胁隔离。但如今有研究人员发现,攻击者有机会借此机制,对使用者的电脑下达命令。
资安业者Mandiant指出,一般而言,攻击者往往使用命令与控制(Command & Control,C&C或C2)机制,控制植入受害电脑的恶意软体,而这种机制通常会采用HTTP连线运作,若是使用者的电脑在导入RBI的环境里,攻击者从远端C2伺服器下达的命令,只会在远端实际进行网页内容渲染的浏览器发挥作用,使用者的电脑得以不受影响。
但该公司的红队团队发现,若是C2伺服器传送有效的网页内容,当中显示特定的QR Code,使得RBI采用的无介面浏览器(headless browser)处理与呈现网页内容的过程中,取得萤幕画面的内容并读取二维码嵌入的资料。这么一来,攻击者就能在远端浏览器呈现网页内容的过程中,将特定资料传送到在受害电脑上的恶意程式。
电脑恶意程式生态圈已经出现分工,开发团队透过租用的方式提供打手使用,并给予相关技术支援,使得从事这类网路攻击的门槛大幅降低,打手不需具备开发技能就能参与相关活动。如今这样的情况,也出现在行动装置的恶意软体活动。
资安业者Cleafy在10月下旬发现名为DroidBot的安卓远端存取木马(RAT),并指出骇客将其用于攻击行动,最早可追溯到今年6月。攻击者锁定遍及英国、义大利、法国、西班牙、葡萄牙的77家银行及加密货币交易所客户,并有意将攻击范围延伸到美国和拉丁美洲。
值得留意的是,虽然这些骇客的手法与已知恶意软体相当类似,但是他们透过租用服务吸引打手上门使用的做法,在安卓恶意软体界并不常见,而有可能大幅增加防守端的判断负担,若缺乏有效的即时监控机制,很有可能导致金融机构反诈欺团队被庞大资讯压垮。
其他攻击与威胁
0patch向微软通报此事,并表明他们在微软正式发布修补之前,将会免费提供微修补程式。这项弱点目前尚未登记CVE编号,为了避免漏洞遭到攻击者利用,他们也暂时不会公布相关细节。
令人忧心的是,0patch也提到攻击者引诱使用者触发漏洞的难度并不高,例如:说服使用者打开含有恶意档案的共享资料夹、随身碟,或是先利用恶意网页进行偷渡式下载,再「提醒」使用者检视下载资料夹,就能达到触发漏洞的目的。
◆国家科学及技术委员会(国科会)旗下的国家实验研究院国家高速网路与计算中心与资安社群NDS次世代创新数位安全协会联手,举办「2024 CGGC网路守护者挑战赛(Cyber Guardian Grand Challenge)」,总共吸引近150支队伍、500名参赛者报名,主办单位将AI应用与虚实整合系统(Cyber-Physical Systems,CPS)导入抢旗赛(CTF),12月6日于台南沙仑资安基地举行决赛,结果由「海狗再打十年」队夺冠,抱走10万元奖金。
特别的是,本次竞赛他们首度注入生成式AI大型语言模型对话,在比赛中带来新型态的互动方式,参赛者借由与平台对话,有机会找出隐藏的题目,并体验生成式AI带来的资安挑战,例如:提示注入(prompt injection)、资料下毒(data poisoning)等。
【资安防御措施】
12月5日欧洲刑警组织(Europol)宣布,由德国汉诺威警察局(Polizeidirektion Hannover)、Verden检察官办公室(Staatsanwaltschaft Verden)带头的跨国执法行动当中,成功破获网路犯罪市集Manson Market(manson-market[.]pw),总共没收超过50台伺服器、收集逾200 TB证据,并于德国和奥地利逮捕现年27岁、37岁的主嫌,两人目前遭到拘留。
这起执法行动从2022年秋季开始,由德国、奥地利、捷克、芬兰、荷兰、波兰的执法单位共同参与调查。
除此之外,执法人员还发现冒牌的线上商店网路,这些店家引诱消费者输入付款资料,歹徒再从中截录相关资讯并用于销售。德国汉诺威警察局透露,约有57人受害,损失金额超过25万欧元。