[[415167]]

【51CTO.com快譯】Menlo Security的研究部門：網絡安全公司Menlo Labs警告HTML走私(HTML smuggling)卷土重來。這種攻擊是指，惡意威脅分子繞過邊界安全機制，直接在受害者的機器上組裝惡意負載。

Menlo在公布這則消息的同時還發現了ISOMorph的HTML走私活動，這種活動所采用的伎倆與SolarWinds攻擊者在最近的魚叉式網絡釣魚活動中所采用的伎倆一樣。

ISOMorph攻擊利用HTML走私，在受害者的計算機上實施其第一階段。由于它是“走私”的，所以釋放器(dropper)實際上在目標計算機上組裝，這使得攻擊可以完全繞過標準的邊界安全機制。一旦安裝上去，釋放器獲取有效載荷，從而使用遠程訪問木馬(RAT)感染計算機。而RAT讓攻擊者可以控制受感染的機器，并在受感染的網絡上橫向移動。

HTML走私的工作原理是，鉆許多Web瀏覽器中存在的HTML5和JavaScript的基本功能的空子。該漏洞利用方法的核心涉及兩方面：它使用HTML5下載屬性來下載偽裝成合法文件的惡意文件，還以一種類似的方式使用JavaScript blob。可以利用任何一種方式或結合兩者方式，用于HTML走私攻擊。

由于文件在進入到目標計算機之前不會被創建，網絡安全系統不會將它們視為惡意文件——安全系統看到的只是HTML和JavaScript流量，容易被混淆起來以隱藏惡意代碼。

面對廣泛的遠程工作和云托管的日常工作工具——所有這些都是從瀏覽器內部訪問的，HTML混淆問題變得尤為嚴重。Menlo Labs引用來自Forrester/谷歌的報告的數據表示，工作日當中平均75%的時間花在網絡瀏覽器上，這無異于在公然邀請網絡犯罪分子，尤其是那些懂得鉆安全薄弱的瀏覽器空子的人。Menlo說：“我們認為攻擊者在使用HTML走私將有效載荷釋放到端點，因為瀏覽器是最薄弱的環節之一，沒有什么網絡解決方案阻止得了。”

由于有效載荷是直接在目標位置的瀏覽器上組裝的，典型的周邊安全和端點監控及響應工具幾乎不可能檢測得了。但這并不是說不可能防御HTML走私攻擊——總部位于英國的網絡安全公司SecureTeam表示，這只是意味著公司需要假設威脅是真實且可能的，應基于這個前提來構建安全機制。

SecureTeam給出了以下建議，以防范HTML走私及可能輕松突破邊界防御的其他攻擊：

• 對網絡進行分段，以限制攻擊者橫向移動的能力。
• 使用Microsoft Windows Attack Surface Reduction之類的服務，這種服務可以在操作系統層面保護計算機，避免運行惡意腳本和生成不可見的子進程。
• 確保防火墻規則阻止來自已知惡意域和IP地址的流量。
• 培訓用戶：Menlo Security描述的攻擊需要用戶交互才能感染機器，因此確保每個人都知道如何檢測可疑行為和攻擊者技巧。

原文標題：HTML smuggling is the latest cybercrime tactic you need to worry about，作者：Brandon Vigliarolo

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】