新的浏览器隔离安全漏洞：Mandiant 使用 QR 码进行命令控制

关键要点

• Mandiant 演示了通过 QR 码来绕过浏览器隔离安全的创新方法。
• 浏览器隔离是一种广泛使用的安全措施，用于防止恶意代码在用户系统上执行。
• Mandiant 的概念验证显示，C2 命令可以在网页上以 QR 码形式编码，进而到达本地设备。
• 虽然该攻击方法为可行，但在数据传输上存在限制。

浏览器隔离是一项广泛应用的安全措施，其目的是通过在云端或虚拟机环境中处理网页内容，来确保只显示视觉数据流，从而避免恶意代码在用户系统上执行。此技术通常会阻止
C2 通信，因为 HTTP 基于的流量在远程浏览器隔离过程中被过滤。

Mandiant 的概念验证显示，C2 命令可以用 QR 码编码并显示在网页上。由于在隔离过程中不会去除视觉呈现，这些 QR码能够到达本地设备。被攻击的设备上运行的 能够捕获并解码这些 QR码，从而执行命令。Mandiant 的测试成功整合了这一技术，并利用 Cobalt Strike 的外部 C2 特性进行了操作，且其在最新的 GoogleChrome 版本上运行。

然而，这种攻击方法也存在限制。根据 Mandiant 的说法，数据流被限制在 2,189 字节，考虑到延迟后，数据传输速率约为每秒 438字节。此外，与域名声誉检查和请求启发式等其他安全措施的相容性进一步限制了该方法在大型有效载荷方面的效率。

限制项目 | 描述
—|—
数据流限制 | 2,189 字节
数据传输速率 | 约 438 字节/秒
与其他安全措施的相容性 | 限制大型有效载荷的效率

在未来的安全防御中，这一创新方法将促使网络安全专家对浏览器隔离技术进行进一步完善，以防止潜在威胁。对于用户而言，增强个人安全意识如定期更新设备和使用多重身份验证，也将有效降低此类攻击的风险。