麻豆 足交 QR 码绕过浏览器遏制进积坏心 C2 通讯

浏览器遏制是一种日益流行的安全技巧，它通过云环境或诬捏机中托管的费力 Web 浏览器路由悉数腹地 Web 浏览器肯求麻豆 足交，所看望网页上的任何剧本或内容齐在费力浏览器而不是腹地浏览器上履行。

三上悠亚 肛交

然后，页面的渲染像素流被发送回发出原始肯求的腹地浏览器，仅露馅页面的外不雅并保护腹地修复免受任何坏心代码的侵害。好多敕令和边界管事器诳骗 HTTP 进行通讯，导致费力浏览器遏制以过滤坏心流量，并使这些通讯模子无效。

Mandiant 发现了一种绕过浏览器遏制技巧并通过 QR 码杀青敕令和边界操作的新形式，Mandiant 的新技巧试图绕过这些边界，尽管它有一些内容边界，但它标明浏览器中现存的安全保护还远远不够无缺，需要相接荒芜门径的"纵深铩羽"计策。

C2 和浏览器遏制的布景

C2 通谈因循症结者和受感染系统之间的坏心通讯，使费力症结者粗略边界受碎裂的修复以及履行敕令、窃取数据等。由于浏览器在诡计上赓续与外部管事器交互，因此会激活遏制门径，以留心症结者在安全关键环境中看望底层系统上的明锐数据。

这是通过在云表、腹地诬捏机或腹地托管的单独沙盒环境中启动浏览器来杀青的。当遏制处于行径现象时，遏制的浏览器会惩处传入的 HTTP 肯求，何况惟有页面的可视内容会流式传输到腹地浏览器，这意味着 HTTP 反应中的剧本或敕令永远不会到达指标。

这会收敛症结者径直看望 HTTP 反应或向浏览器注入坏心敕令麻豆 足交，从而使潜伏的 C2 通讯变得愈加贵重。

浏览器遏制概括

Mandiant 的绕行妙技

Mandiant 盘问东谈主员诡计了一种新技巧，不错绕过当代浏览器中现存的遏制机制。症结者不是将敕令镶嵌到 HTTP 反应中，而是将它们编码在网页上直不雅露馅的二维码中。

由于在浏览器遏制肯求时间网页的视觉渲染不会被剥离，因此二维码粗略将其复返给发起肯求的客户端。在 Mandiant 的盘问中，"受害者"的腹地浏览器是一个无头客户端，由之前感染过该修复的坏心软件边界，该客户端会拿获检索到的二维码并对其进行解码以得到请示。

使用二维码绕过浏览器遏制

Mandiant 的成见考据演示了对最新 Google Chrome 网罗浏览器的症结，通过 Cobalt Strike 的外部 C2 功能（一种无为浪费的笔测试器具包）集成植入要领。

天然 PoC 露馅症结是可行的，但该技巧并非白璧无瑕，相等是斟酌到践诺寰宇的适用性。

领先，数据流的最大大小被边界为 2，189 字节，精炼是 QR 码不错佩戴的最大数据的 74%，要是在坏心软件果真认器上读取 QR 码时出现问题，则数据包的大小需要进一步减小。 其次，需要斟酌延伸，因为每个肯求精炼需要 5 秒。这将数据传输速度边界为精炼 438 字节 / 秒，因此该技巧不符合发送大负载或促进 SOCKS 代理。

临了麻豆 足交，Mandiant 默示，其盘问莫得斟酌荒芜的安全门径，举例域名信誉、URL 扫描、数据丢失防护和肯求启发式，这些门径在某些情况下可能会收敛这种症结或使其无效。尽管 Mandiant 基于 QR 码的 C2 技巧的带宽较低，但要是不被收敛，它仍然可能很危急。