浏览器隔离绕过技术:Mandiant 发现基于 QR 码的恶意 C2 通信新方法
浏览器隔离是一种日益流行的安全技术。它通过云环境或虚拟机托管的远程 Web 浏览器,路由所有本地浏览器的 Web 请求。网页上的任何脚本、恶意内容均在远程浏览器中执行,而非本地设备。
随后,仅将页面的渲染像素流发送回本地浏览器,仅呈现视觉外观,从而有效保护本地设备免受恶意代码侵害。许多命令与控制(C2)服务器依赖 HTTP 通信,而浏览器隔离能过滤恶意流量,使此类隐蔽通信模型失效。
What Is Remote Browser Isolation? | LayerX
C2 与浏览器隔离的背景
C2 通道是攻击者与受感染系统之间的核心恶意通信链路,可实现远程控制设备、执行命令或窃取数据。由于浏览器需频繁与外部服务器交互,在高安全环境中通常启用隔离措施,以防止攻击者访问底层敏感数据。
隔离技术通过云端、本地虚拟机或独立沙盒环境运行浏览器。当隔离激活时,隔离浏览器处理所有 HTTP 请求,仅将页面的可视内容流式传输至本地。这意味着 HTTP 响应中的脚本或命令永远无法到达目标设备,显著增加了隐蔽 C2 通信的难度。
Command and Control (C2) Servers - Bitdefender InfoZone
Mandiant 的 QR 码绕过技巧
Mandiant 研究人员提出了一种创新绕过现代浏览器隔离机制的新技术。攻击者不再将命令嵌入 HTTP 响应,而是将其编码进网页上直观显示的二维码中。
由于浏览器隔离仅剥离可执行脚本,而保留视觉渲染结果,二维码能完整返回给发起请求的本地客户端。在 Mandiant 的概念验证中,“受害者”本地浏览器由先前植入的恶意软件控制(无头客户端模式),它会自动捕获二维码并解码提取指令,从而实现 C2 通信。
QR Code-Based C2 Attack Bypasses All Type of Browser Isolation Security
使用二维码绕过浏览器隔离
Mandiant 的 PoC 针对最新版 Google Chrome 浏览器,通过 Cobalt Strike 的外部 C2 功能集成植入程序(该工具包在渗透测试中被广泛滥用)。攻击流程清晰可行:本地植入程序通过 DevTools 导航至 C2 路径,隔离浏览器返回含二维码的视觉内容,本地恶意软件截图解码后执行命令,并将输出反馈给 C2 服务器。
QR Code - Chrome Web Store
技术限制与纵深防御建议
尽管 PoC 证明了攻击可行性,但该技术并非完美,存在现实世界适用性限制:
- 数据容量限制:最大有效载荷约 2,189 字节(仅为 QR 码最大容量的 74%),若解码出错需进一步缩小包大小。
- 延迟与带宽:每个请求约需 5 秒,传输速率仅约 438 字节/秒,不适合大文件传输或建立 SOCKS 代理。
- 额外防护因素:未考虑域名信誉检查、URL 扫描、数据丢失防护(DLP)及请求启发式等措施,这些在实际环境中可能直接阻断攻击。
尽管带宽较低,若未被有效拦截,该基于 QR 码的 C2 技术仍可能造成严重威胁。Mandiant 强调,浏览器现有的安全保护远非完美,建议采用“纵深防御”策略,结合多层安全措施全面提升防护能力。
What is Defense in Depth. Defense in Depth is a security strategy… | by Ghost | Medium