浏览器挫折是一种日益流行的安全技能，它通过云环境或虚构机中托管的云尔 Web 浏览器路由通盘腹地 Web 浏览器央求，所打听网页上的任何剧本或内容齐在云尔浏览器而不是腹地浏览器上履行。

然后，页面的渲染像素流被发送回发出原始央求的腹地浏览器，仅浮现页面的外不雅并保护腹地缔造免受任何坏心代码的侵害。好多敕令和规模作事器诈欺 HTTP 进行通讯，导致云尔浏览器挫折以过滤坏心流量，并使这些通讯模子无效。

Mandiant 发现了一种绕过浏览器挫折技能并通过 QR 码扫尾敕令和规模操作的新阵势，Mandiant 的新技能试图绕过这些死心，尽管它有一些内容死心，但它标明浏览器中现存的安全保护还远远不够完竣，需要相聚稀疏递次的"纵深防患"战略。

C2 和浏览器挫折的配景

C2 通说念复旧攻击者和受感染系统之间的坏心通讯，使云尔攻击者大概规模受松弛的缔造以及履行敕令、窃取数据等。由于浏览器在假想上连接与外部作事器交互，因此会激活挫折递次，以防护攻击者在安全关节环境中打听底层系统上的明锐数据。

这是通过在云霄、腹地虚构机或腹地托管的单独沙盒环境中初始浏览器来扫尾的。当挫折处于手脚气象时，挫折的浏览器会处分传入的 HTTP 央求，况兼惟一页面的可视内容会流式传输到腹地浏览器，这意味着 HTTP 反馈中的剧本或敕令经久不会到达蓄意。

这会摆布攻击者径直打听 HTTP 反馈或向浏览器注入坏心敕令，从而使隐敝的 C2 通讯变得愈加隐私。

浏览器挫折抽象

Mandiant 的绕行妙技

Mandiant 经营东说念主员假想了一种新技能，不错绕过当代浏览器中现存的挫折机制。攻击者不是将敕令镶嵌到 HTTP 反馈中，而是将它们编码在网页上直不雅浮现的二维码中。

由于在浏览器挫折央求时候网页的视觉渲染不会被剥离，因此二维码大概将其复返给发起央求的客户端。在 Mandiant 的经营中，"受害者"的腹地浏览器是一个无头客户端，由之前感染过该缔造的坏心软件规模，该客户端会拿获检索到的二维码并对其进行解码以得回请示。

使用二维码绕过浏览器挫折

Mandiant 的见地考证演示了对最新 Google Chrome 收集浏览器的攻击，通过 Cobalt Strike 的外部 C2 功能（一种庸俗浮滥的笔测试器具包）集成植入体式。

天然 PoC 浮现攻击是可行的，但该技能并非白玉无瑕，绝顶是磋商到本质天下的适用性。

领先，数据流的最大大小被死心为 2,189 字节，简短是 QR 码不错捎带的最大数据的 74%，要是在坏心软件的评释器上读取 QR 码时出现问题，则数据包的大小需要进一步减小。 其次，需要磋商蔓延，因为每个央求简短需要 5 秒。这将数据传输速度死心为简短 438 字节 / 秒，因此该技能不相宜发送大负载或促进 SOCKS 代理。

临了，Mandiant 暗示，其经营莫得磋商稀疏的安全递次，举例域名信誉、URL 扫描、数据丢失防护和央求启发式，这些递次在某些情况下可能会摆布这种攻击或使其无效。尽管 Mandiant 基于 QR 码的 C2 技能的带宽较低，但要是不被摆布2024欧洲杯(中国区)官网-投注app入口，它仍然可能很危急。