HTML走私是您必须担心的最新网络犯罪伎俩在这种类型的攻击中,恶意威胁行为者绕过外围安全机制并直接在受害者的机器上组装恶意负载。Menlo的公告恰逢ISOMorph的HTML走私活动的发现,该活动使用的策略与SolarWinds攻击者在最近的鱼叉式网络钓鱼活动中使用的策略相同。ISOMorph攻击使用HTML走私在受害者的计算机上实施其第一阶段。由于它是“走私的”,因此投放程序实际上是在目标计算机上组装的,这使得攻击可以完全绕过标准的边界安全机制。安装后,投放程序会获取有效负载并使用远程访问木马(RAT)感染计算机。RAT允许攻击者控制受感染的机器并在受感染的网络中横向移动。HTML走私通过利用许多Web浏览器中存在的HTML5和JavaScript的基本功能来进行。该漏洞利用的核心涉及两件事:它使用HTML5下载属性下载伪装成合法文件的恶意文件,并以类似的方式使用JavaScriptblob。任何一种方法或两种方法的组合都可用于HTML走私攻击。由于文件在到达目标计算机之前不会被创建,网络安全系统不会将它们视为恶意文件——它们所看到的只是HTML和JavaScript流量,这些流量很容易被混淆以隐藏恶意代码。面对广泛的远程工作和云托管的日常工作工具,HTML混淆问题尤为严重——所有这些都是从浏览器中访问的。MenloLabs引用Forrester/Google报告中的数据表示,平均75%的工作日花在网络浏览器上,这无异于招来网络犯罪分子,尤其是那些知道如何利用弱浏览器的人。“我们认为攻击者正在使用HTML走私将有效载荷投放到端点,因为浏览器是最薄弱的环节之一,没有任何网络解决方案可以阻止它,”Menlo说。由于有效载荷直接在目标浏览器之上组装,典型的边界安全和端点监控和响应工具几乎不可能被检测到。这并不是说无法防御HTML走私攻击——总部位于英国的网络安全公司SecureTeam表示,这只是意味着公司需要在威胁真实存在且可能存在的假设下建立安全措施。SecureTeam提供以下建议来防止HTML走私和其他可以轻易突破边界防御的攻击:将网络分段以限制攻击者横向移动的能力。使用诸如MicrosoftWindowsAttackSurfaceReduction之类的服务,它可以在操作系统级别保护计算机免于运行恶意脚本和生成不可见的子进程。确保防火墙规则阻止来自已知恶意域和IP地址的流量。培训用户:MenloSecurity描述的攻击需要用户交互才能感染机器,因此请确保每个人都知道如何检测可疑行为和攻击者的技巧。原标题:HTML走私是你需要担心的最新网络犯罪手段,作者:BrandonVigliarolo
